這很重要
Azure Frond Door 上的 Web 應用程式防火牆 CAPTCHA 目前為預覽狀態。 請參閱 Microsoft Azure 預覽版增補使用規定,以了解適用於 Azure 功能 (搶鮮版 (Beta)、預覽版,或尚未正式發行的版本) 的法律條款。
Azure Web 應用程式防火牆 (WAF) 提供 CAPTCHA 功能,旨在區分人類使用者與自動化 Bot。 此互動式挑戰需要可疑的流量才能完成 CAPTCHA 測試,並封鎖惡意的自動化要求,同時允許合法用戶順暢地繼續。 因此,WAF 可協助保護應用程式免於遭受 Bot 驅動的攻擊,包括暴力密碼破解嘗試和帳戶接管風險。
Azure WAF 上的 CAPTCHA 在登入和註冊流程中很有用,其中人為驗證對於保護敏感數據至關重要。 它可作為抵禦各種自動化威脅的強項防禦,防止 Bot 存取登入頁面和窗體等重要網站元素,並藉由確保只有真實使用者可以提交批注、註冊帳戶或完成交易來減少垃圾郵件。
將 CAPTCHA 併入 Azure WAF 不僅能增強安全性,還能將合法使用者的摩擦降到最低。 這種平衡可加強 Web 應用程式的整體保護,以防止複雜的自動化威脅。
運作方式
當 CAPTCHA 挑戰在 Azure WAF 上作用中時,任何用戶端的 HTTP(s) 要求會比對特定規則,提示互動式Microsoft CAPTCHA 頁面。 這項挑戰需要用戶參與,以驗證他們是人類,然後才能讓 Azure WAF 驗證其請求。 成功完成時,WAF 會將要求辨識為源自合法使用者,並繼續進行標準規則處理。 無法完成挑戰的要求會遭到封鎖,因而防止自動化 Bot 存取受保護的資源。
到期
WAF 原則設定 會在幾分鐘內定義 CAPTCHA 挑戰 Cookie 有效性存留期,以判斷使用者在面臨新挑戰之前仍會保持驗證的時間長度。 存留期到期后,用戶必須再次完成 CAPTCHA 挑戰,以驗證其身分識別。 存留期可設定為 5 到 1,440 分鐘,預設設定為 30 分鐘。 CAPTCHA 挑戰的 Cookie 名稱在 Azure Front Door 上是 afd_azwaf_captcha。
備註
成功完成挑戰之後,CAPTCHA 挑戰到期 Cookie 會插入使用者的瀏覽器中。
局限性
Mobile Apps:不支援。
不支援 AJAX 和 API 呼叫:CAPTCHA 驗證不適用於 AJAX 和 API 要求。
POST 本文大小限制:當 POST 主體超過 128 KB 時,將封鎖該次觸發 CAPTCHA 挑戰的第一個請求。
非 HTML 內嵌資源:CAPTCHA 是針對 HTML 資源所設計。 將 CAPTCHA 放在非 HTML 資源前面,例如影像、CSS 或 JavaScript 檔案,可能會導致內容載入和轉譯發生問題。
瀏覽器兼容性:Internet Explorer Microsoft不支援 CAPTCHA。 它與最新版的 Microsoft Edge、Chrome、Firefox 和 Safari 相容。