CAPTCHA 和 Challenge 操作行为 - AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced

CAPTCHA 和 Challenge 操作行为

本节介绍了 CAPTCHA 和 Challenge 操作的作用。

当 Web 请求与规则的检查条件相匹配 CAPTCHA 或 Challenge 操作时,AWS WAF 将根据其令牌状态和免疫时间配置来决定如何处理请求。AWS WAF 还会考虑请求是否可以处理验证码拼图或质询脚本插页式广告。这些脚本被设计为作为 HTML 内容处理,只有期望 HTML 内容的客户端才能正确处理它们。

注意

当您在其中一个规则中使用 CAPTCHA 或 Challenge 规则操作或在规则组中将其作为规则操作覆盖时,您需要支付额外费用。有关更多信息,请参阅AWS WAF 定价

操作如何处理 Web 请求

AWS WAF 按如下方式对 Web 请求应用 CAPTCHA 或 Challenge 操作:

  • 有效令牌 – AWS WAF 处理方式与 Count 操作类似。AWS WAF 应用您为规则操作配置的所有标签和请求自定义设置,然后使用 Web ACL 中的其余规则继续评估请求。

  • 令牌丢失、无效或已过期 – AWS WAF 停止对请求的 Web ACL 评估,并阻止它到达预期目标。

    AWS WAF 会生成一个响应,然后将其发送回客户端,具体取决于规则操作类型:

    • Challenge – AWS WAF 在响应字段中包含以下内容:

      • 值为 challenge 的标头 x-amzn-waf-action

        注意

        在客户端浏览器中运行的 JavaScript 应用程序无法使用此标头。有关详细信息,请参阅以下部分。

      • HTTP 状态代码 202 Request Accepted

      • 如果请求包含值为 text/htmlAccept 标头,则响应包含具有质询脚本的 JavaScript 网页插页式广告。

    • CAPTCHA – AWS WAF 在响应字段中包含以下内容:

      • 值为 captcha 的标头 x-amzn-waf-action

        注意

        在客户端浏览器中运行的 JavaScript 应用程序无法使用此标头。有关详细信息,请参阅以下部分。

      • HTTP 状态代码 405 Method Not Allowed

      • 如果请求包含值为 text/htmlAccept 标头,则响应包含具有验证码脚本的 JavaScript 网页插页式广告。

要在 Web ACL 或规则级别配置令牌到期时间,请参阅 在 AWS WAF 中设置时间戳过期和令牌免疫时间

在客户端浏览器中运行的 JavaScript 应用程序无法使用标头

当 AWS WAF 使用验证码或质询响应来响应客户端请求时,它不包括跨源资源共享 (CORS) 标头。CORS 标头是一组访问控制标头,它们告诉客户端 Web 浏览器JavaScript 应用程序可以使用哪些域、HTTP 方法和 HTTP 标头。如果没有 CORS 标头,在客户端浏览器中运行的 JavaScript 应用程序就无法访问 HTTP 标头,因此无法读取 CAPTCHA 和 Challenge 响应中提供的 x-amzn-waf-action 标头。

质询和验证码插页式广告的用途

当质询插页式广告运行时,在客户端成功响应之后,如果它还没有令牌,则插页式广告会为其初始化一个令牌。然后,它会使用质询解题时间戳更新令牌。

当验证码插页式广告运行时,如果客户端还没有令牌,验证码插页式广告会首先调用质询脚本来质询浏览器并初始化令牌。然后,插页式广告运行了验证码拼图。当最终用户成功完成拼图后,插页式广告会使用验证码解算时间戳更新令牌。

无论哪种情况,在客户端成功响应并且脚本更新令牌后,脚本都会使用更新的令牌重新提交原始 Web 请求。

您可以配置 AWS WAF 如何处理令牌。有关信息,请参阅在 AWS WAF 中在 Web 请求上使用令牌