重要
Azure Frond Door の Web アプリケーション ファイアウォール CAPTCHA は現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
Azure Web Application Firewall (WAF) には、人間のユーザーと自動化されたボットを区別するように設計された CAPTCHA 機能が用意されています。 この対話型の課題では、疑わしいトラフィックが CAPTCHA テストを完了し、正当なユーザーがシームレスに続行できるようにしながら、悪意のある自動要求をブロックする必要があります。 その結果、WAF は、ブルート フォース攻撃やアカウント引き継ぎリスクなど、ボット主導の攻撃からアプリケーションを保護するのに役立ちます。
Azure WAF 上の CAPTCHA は、機密性の高いユーザー データを保護するために人間の認証が不可欠なログインとサインアップ フローで役立ちます。 これは、さまざまな自動化された脅威に対する強力な防御として機能し、ボットがログイン ページやフォームなどの重要な Web サイト要素にアクセスするのを防ぎ、実際のユーザーのみがコメントを送信したり、アカウントを登録したり、トランザクションを完了したりできるようにすることでスパムを減らします。
CAPTCHA を Azure WAF に組み込むことで、セキュリティが強化されるだけでなく、正当なユーザーの摩擦も最小限に抑えられます。 このバランスにより、高度な自動化された脅威に対する Web アプリケーションの全体的な保護が強化されます。
動作方法
CAPTCHA チャレンジが Azure WAF でアクティブな場合、クライアントの HTTP 要求は特定のルールに一致し、対話型の Microsoft CAPTCHA ページを要求します。 このチャレンジでは、Azure WAF によって要求が検証される前に、ユーザーが人間であることを確認する必要があります。 正常に完了すると、WAF は正当なユーザーからの要求を認識し、標準のルール処理を続行します。 チャレンジを完了できない要求はブロックされるため、自動化されたボットが保護されたリソースにアクセスできなくなります。
有効期限
WAF ポリシー設定 では、CAPTCHA チャレンジ Cookie の有効期間を分単位で定義し、ユーザーが新しいチャレンジに直面するまでの検証期間を決定します。 有効期間が過ぎると、ユーザーは CAPTCHA チャレンジをもう一度完了して ID を確認する必要があります。 有効期間は 5 ~ 1,440 分で構成でき、既定の設定は 30 分です。 CAPTCHA チャレンジ Cookie 名は afd_azwaf_captcha であり、Azure Front Door にあります。
注
CAPTCHA チャレンジの有効期限 Cookie は、チャレンジが正常に完了した後、ユーザーのブラウザーに挿入されます。
制限事項
Mobile Apps: サポートされていません。
AJAX 呼び出しと API 呼び出しはサポートされていません。CAPTCHA 検証は AJAX 要求と API 要求には適用されません。
POST 本文のサイズ制限: CAPTCHA チャレンジをトリガーする最初の要求は、POST 本文が 128 KB を超えるとブロックされます。
HTML 以外の埋め込みリソース: CAPTCHA は HTML リソース用に設計されています。 画像、CSS、JavaScript ファイルなどの HTML 以外のリソースの前に CAPTCHA を配置すると、コンテンツの読み込みとレンダリングに問題が発生する可能性があります。
ブラウザーの互換性: CAPTCHA は Microsoft Internet Explorer ではサポートされていません。 Microsoft Edge、Chrome、Firefox、Safari の最新バージョンと互換性があります。