Usando a API CAPTCHA JavaScript - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Usando a API CAPTCHA JavaScript

Esta seção fornece instruções para usar a API de integração CAPTCHA.

A API CAPTCHA JavaScript permite que você configure o quebra-cabeça CAPTCHA e o coloque onde quiser em seu aplicativo cliente. Essa API aproveita os recursos das APIs JavaScript de ameaças inteligentes para adquirir e usar tokens do AWS WAF depois que um usuário final conclui com êxito um quebra-cabeça CAPTCHA.

Implemente a integração com JavaScript primeiro em um ambiente de teste e depois na produção. Para obter orientações adicionais sobre codificação, consulte as seções a seguir.

Para usar a API de integração CAPTCHA

  1. Instale a API

    1. Faça login no Console de gerenciamento da AWS e abra o console do AWS WAF em https://console.aws.amazon.com/wafv2/homev2.

    2. No painel de navegação, escolha Integração de aplicativos. Na página Integração de aplicativos, você pode ver as opções com guias.

    3. Selecione Integração CAPTCHA.

    4. Copie a tag do script de integração de JavaScript listada para uso em sua integração.

    5. No código da página do aplicativo, na seção <head>, insira a tag de script que você copiou. Essa inclusão torna o quebra-cabeça CAPTCHA disponível para configuração e uso. 

      <head>
    <script type="text/javascript" src="integrationURL/jsapi.js" defer></script>
</head>

      Essa lista <script> é configurada com o recurso defer, mas você pode alterar a configuração para async se quiser um comportamento diferente para sua página.

      O script do CAPTCHA também carrega automaticamente o script de integração de ameaças inteligentes, caso ele ainda não esteja presente. O script de integração de ameaças inteligentes faz com que seu aplicativo cliente recupere automaticamente um token em segundo plano no carregamento da página e fornece outras funcionalidades de gerenciamento de tokens necessárias para o uso da API CAPTCHA.

  2. (Opcional) Adicionar configuração de domínio para os tokens do cliente: por padrão, quando o AWS WAF cria um token, ele usa o domínio do host do recurso associado ao pacote de proteção (ACL da Web). Para fornecer domínios adicionais para as APIs JavaScript, siga as orientações em Fornecimento de domínios para uso nos tokens.

  3. Obter a chave de API criptografada para o cliente: a API CAPTCHA requer uma chave de API criptografada que contenha uma lista de domínios de clientes válidos. O AWS WAF usa essa chave para verificar se o domínio do cliente que você está usando com a integração foi aprovado para usar CAPTCHA do AWS WAF. Para gerar sua chave de API, siga as orientações em Como gerenciar chaves de API para a API JS CAPTCHA.

  4. Codificar a implementação do widget CAPTCHA: implemente a chamada de API renderCaptcha() em sua página, no local em que você deseja usá-la. Para obter informações sobre como configurar e usar essa função, consulte as seguintes seções, Especificação da API CAPTCHA JavaScript e Como renderizar o quebra-cabeça CAPTCHA.

    A implementação do CAPTCHA se integra às APIs de integração de ameaças inteligentes para gerenciamento de tokens e execução de chamadas de busca que usam os tokens do AWS WAF. Para obter orientação sobre o uso dessas APIs, consulte Usando a API JavaScript de ameaças inteligentes.

  5. Adicionar verificação de token ao pacote de proteção (ACL da Web): adicione pelo menos uma regra ao pacote de proteção (ACL da Web) que verifique se há um token de CAPTCHA válido nas solicitações da Web enviadas pelo cliente. Você pode usar a ação de regra CAPTCHA para verificar, conforme descrito em CAPTCHA e Challenge em AWS WAF.

    As adições ao pacote de proteção (ACL da Web) verificam se as solicitações dirigidas aos endpoints protegidos incluem o token que você adquiriu na integração de cliente. Solicitações que incluem um token de CAPTCHA válido e não expirado passam pela inspeção de ação de regra CAPTCHA e não apresentam ao usuário final outro quebra-cabeça CAPTCHA.

Depois de implementar a API JavaScript, você pode revisar as métricas do CloudWatch para tentativas e soluções de códigos CAPTCHA. Para obter detalhes sobre métricas e dimensões, consulte Métricas e dimensões da conta.

Tópicos