CAPTCHA然后Challenge在 AWS WAF

您可以将 AWS WAF 规则配置为对符合规则检查标准的 Web 请求运行CAPTCHA或Challenge操作。您还可以对 JavaScript 客户端应用程序进行编程，使其在本地运行 CAPTCHA 拼图和浏览器挑战。

只有当浏览器访问 HTTPS 端点时，才能运行验证码谜题和静默挑战。浏览器客户端必须在安全的环境中运行才能获取令牌。

• CAPTCHA— 要求最终用户解开 CAPTCHA 难题，以证明有人在发送请求。验证码拼图旨在让人类相当容易和快速地成功完成拼图，而计算机很难成功完成或随机完成。

  在 Web ACL 规则中，CAPTCHA 通常用于某项Block操作会阻止过多的合法请求，但允许所有流量通过会导致大量不想要的请求（例如来自机器人的请求）。有关规则操作行为的信息，请参阅AWS WAFCAPTCHA 和 Challenge 规则操作的工作原理。

  您还可以在客户端应用程序集成 API 中编程 CAPTCHA 拼图实现。当你这样做时，你可以自定义拼图在客户端应用程序中的行为和位置。有关更多信息，请参阅 AWS WAF 客户端应用程序集成。

• Challenge— 运行静默挑战，要求客户端会话验证它是浏览器，而不是机器人。验证在后台运行，不涉及最终用户。这是一个不错的选择，可以验证您怀疑无效的客户端，而不会通过验证码拼图对最终用户体验产生负面影响。有关规则操作行为的信息，请参阅AWS WAFCAPTCHA 和 Challenge 规则操作的工作原理。

  Challenge 规则操作类似于客户端智能威胁集成 API 运行的质询，如 AWS WAF 客户端应用程序集成 中所述。

注意

当您在其中一个规则中使用 CAPTCHA 或 Challenge 规则操作或在规则组中将其作为规则操作覆盖时，您需要支付额外费用。有关更多信息，请参阅AWS WAF 定价。

有关所有规则操作选项的说明，请参阅规则操作。

主题

• AWS WAF 验证码拼图
• AWS WAFCAPTCHA 和 Challenge 规则操作的工作原理
• 使用 CAPTCHA 和Challenge 操作的最佳实践