Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Importante
O desafio JavaScript do Firewall de Aplicativo Web do Azure está atualmente em PREVIEW. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
O Firewall de Aplicativo Web do Azure (WAF) no Azure Front Door e o Gateway de Aplicativo do Azure oferecem um recurso de desafio JavaScript como uma das opções de mitigação para proteção contra bots avançada. Para o Azure Front Door, ele está disponível na versão Premium como uma ação no conjunto de regras personalizadas e no conjunto de regras do Bot Manager 1.x.
O desafio JavaScript é um desafio invisível da web usado para distinguir entre usuários legítimos e bots. Os bots maliciosos falham no desafio, que protege os aplicativos da web. Além disso, o desafio JavaScript é benéfico, pois reduz o atrito para usuários legítimos porque não exige nenhuma intervenção humana.
Como ele funciona
Quando o Desafio JS está ativo no Azure WAF e a solicitação HTTP(s) de um cliente corresponde a uma regra específica, o cliente vê uma página de desafio Microsoft JS. O usuário vê essa página por alguns segundos enquanto o navegador do usuário calcula o desafio. O navegador do cliente deve calcular com êxito um desafio JavaScript nessa página para receber a validação do Azure WAF. Quando o cálculo é bem-sucedido, o WAF valida a solicitação como um cliente não-bot e executa o restante das regras do WAF. As solicitações que não conseguirem calcular o desafio com êxito serão bloqueadas.
Solicitações de CORS (compartilhamento de recursos entre origens) são desafiadas em cada tentativa de acesso. Portanto, se um cliente acessa uma página que dispara o desafio JavaScript de um domínio diferente do domínio que hospeda o desafio, o cliente enfrenta o desafio novamente mesmo que o cliente tenha passado no desafio anteriormente.
Além disso, se um cliente resolver o desafio JavaScript e, em seguida, o endereço IP do cliente for alterado, o desafio será emitido novamente.
Aqui está um exemplo de página de desafio JavaScript:
Expiração
A configuração da política WAF define o tempo de validade do cookie de desafio JavaScript em minutos. O usuário é desafiado após o término do tempo de vida. O tempo de vida é um número inteiro entre 5 e 1,440 minutos e o padrão é 30 minutos. O nome do cookie de desafio JavaScript é afd_azwaf_jsclearance no Azure Front Door e appgw_azwaf_jsclearance no Gateway de Aplicativo do Azure.
Observação
O cookie de expiração do desafio JavaScript é injetado no navegador do usuário após a conclusão bem-sucedida do desafio.
Limitações
Não há suporte para chamadas a AJAX e API: o desafio JavaScript não se aplica a solicitações AJAX e API.
Restrição de tamanho do corpo POST: a primeira solicitação que dispara um desafio JavaScript será bloqueada se seu corpo POST exceder 128 KB.
Recursos inseridos não HTML: o desafio JavaScript foi projetado para recursos HTML. Não há suporte para desafios para recursos não HTML inseridos em uma página, como imagens, CSS, arquivos JavaScript ou recursos semelhantes. No entanto, se houver uma solicitação de desafio javaScript bem-sucedida anterior, essas limitações serão levantadas.
Compatibilidade do navegador: não há suporte para o desafio JavaScript no Microsoft Internet Explorer. Ele é compatível com as versões mais recentes dos navegadores Web Microsoft Edge, Chrome, Firefox e Safari.
Não há suporte para Limite de Taxa: A ação de desafio JavaScript no Gateway de Aplicativo não é suportada para regras personalizadas do tipo Limite de Taxa durante a prévia pública.