CAPTCHAe comportamento Challenge d'azione - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, e direttore AWS Shield della sicurezza di rete

Ti presentiamo una nuova esperienza di console per AWS WAF

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Utilizzo dell'esperienza console aggiornata.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

CAPTCHAe comportamento Challenge d'azione

Questa sezione spiega cosa fanno Challenge le azioni CAPTCHA e.

Quando una richiesta Web soddisfa i criteri di ispezione di una regola con CAPTCHA o Challenge un'azione, AWS WAF determina come gestire la richiesta in base allo stato del token e alla configurazione del tempo di immunità. AWS WAF valuta anche se la richiesta è in grado di gestire il puzzle CAPTCHA o lo script di sfida interstitial. Gli script sono progettati per essere gestiti come contenuti HTML e possono essere gestiti correttamente solo da un client che prevede contenuti HTML.

Nota

Ti vengono addebitati costi aggiuntivi quando utilizzi l'azione CAPTCHA o in una delle tue regole o come Challenge regola che sostituisce un'azione in un gruppo di regole. Per ulteriori informazioni, consultare AWS WAF Prezzi.

In che modo l'azione gestisce la richiesta web

AWS WAF applica l'Challengeazione CAPTCHA or a una richiesta web come segue:

  • Token valido: la AWS WAF gestisce in modo simile a un'Countazione. AWS WAF applica tutte le etichette e richiede le personalizzazioni che hai configurato per l'azione della regola, quindi continua a valutare la richiesta utilizzando le regole rimanenti nel protection pack o nell'ACL web.

  • Token mancante, non valido o scaduto: AWS WAF interrompe la valutazione del protection pack o dell'ACL web della richiesta e ne impedisce l'accesso alla destinazione prevista.

    AWS WAF genera una risposta che invia al client, in base al tipo di azione della regola:

    • Challenge— AWS WAF include quanto segue nella risposta:

      • L'intestazione x-amzn-waf-action con un valore di challenge.

        Nota

        Per le applicazioni Javascript in esecuzione nel browser client, questa intestazione è disponibile solo all'interno del dominio dell'applicazione. L'intestazione non è disponibile per il recupero tra domini. Per i dettagli, consulta la sezione che segue.

      • Codice di stato HTTP 202 Request Accepted.

      • Se la richiesta contiene un'Acceptintestazione con un valore ditext/html, la risposta include una JavaScript pagina interstiziale con uno script di sfida.

    • CAPTCHA— AWS WAF include quanto segue nella risposta:

      • L'intestazione x-amzn-waf-action con un valore di captcha.

        Nota

        Per le applicazioni Javascript in esecuzione nel browser client, questa intestazione è disponibile solo all'interno del dominio dell'applicazione. L'intestazione non è disponibile per il recupero tra domini. Per i dettagli, consulta la sezione che segue.

      • Codice di stato HTTP 405 Method Not Allowed.

      • Se la richiesta contiene un'Acceptintestazione con un valore ditext/html, la risposta include una JavaScript pagina interstiziale con uno script CAPTCHA.

Per configurare la tempistica di scadenza del token a livello di protection pack o ACL web o di regola, consulta. Impostazione dei tempi di scadenza del timestamp e dell'immunità dei token in AWS WAF

Le intestazioni non sono disponibili per JavaScript le applicazioni eseguite nel browser client

Quando AWS WAF risponde a una richiesta del client con un CAPTCHA o una risposta alla sfida, non include le intestazioni CORS (Cross-Origin Resource Sharing). Le intestazioni CORS sono un insieme di intestazioni per il controllo degli accessi che indicano al browser Web del client quali domini, metodi HTTP e intestazioni HTTP possono essere utilizzati dalle applicazioni. JavaScript Senza le intestazioni CORS, JavaScript le applicazioni in esecuzione in un browser client non hanno accesso alle intestazioni HTTP e quindi non sono in grado di leggere l'x-amzn-waf-actionintestazione fornita nelle risposte and. CAPTCHA Challenge

A cosa servono gli interstitial Challenge e CAPTCHA

Quando viene eseguita una challenge interstitial, dopo che il client ha risposto con successo, se non dispone già di un token, l'interstitial ne inizializza uno. Quindi aggiorna il token con il timestamp di risoluzione della sfida.

Quando viene eseguito un CAPTCHA interstitial, se il client non ha ancora un token, il CAPTCHA interstitial richiama innanzitutto lo script di sfida per sfidare il browser e inizializzare il token. Quindi l'interstitial esegue il suo puzzle CAPTCHA. Quando l'utente finale completa con successo il puzzle, l'interstitial aggiorna il token con il timestamp di risoluzione CAPTCHA.

In entrambi i casi, dopo che il client ha risposto correttamente e lo script ha aggiornato il token, lo script invia nuovamente la richiesta web originale utilizzando il token aggiornato.

È possibile configurare il modo in cui gestisce i token AWS WAF . Per informazioni, consultare Uso dei token nella mitigazione AWS WAF intelligente delle minacce.