CloudFlare CAPTCHA 和 Challenge 页面对用户来说是什么样的?

What do the CloudFlare CAPTCHA and Challenge pages look like for users?

在 CloudFlare Web Application Firewall 中,您可以根据 IP 地址、国家/地区名称或 ASN 阻止、白名单、CAPTCHA 或 JavaScript 挑战流量。验证码部分提供的唯一注释是:

If you are unsure whether suspicious web visitor behavior is illegitimate traffic, you can set up a challenge page. This page asks visitors to submit a CAPTCHA successfully to continue their action. If the web visitor fails the challenge, they will be blocked from your website.

验证码和挑战页面是什么样的?

我尝试为自己的 IP 地址设置挑战,结果如下:

另一个测试显示有时使用 Google reCAPTCHA 系统:

这似乎是默认的挑战页面,但如果您使用的是付费计划,则会出现 options to customize 以下错误页面:

  • IP/Country 块
  • WAF 块
  • 500 Class 个错误
  • 启用来源错误页面
  • 1000 Class 个错误
  • Always Online™ 错误
  • 基本安全挑战
  • WAF 挑战
  • 国家挑战
  • 我正在接受攻击模式™挑战

在防火墙部分,您还可以更改验证码出现的频率(从 5 分钟到 1 年)。

此外,验证码响应似乎是按域保存的(可能使用 cookie),完成挑战将允许访问该域和所有 sub-domains。此外,挑战页面会向用户显示 403 Forbidden response code,如果您从 Cloudflare 后面的另一个域加载这些内容,并且该域包含在挑战中而无法完成验证码,则可能会导致 javascript/css 出现问题.

另外,我刚刚发现 IPs with higher threat scores or JavaScript/cookies disabled 的 CAPTCHA 挑战可以更改:

@wiretapped The captchas are from Google's reCaptcha. The higher the threat score with the IP = a harder challenge page.

这可能会也可能不会发生在 IP 封禁中,但这里是 tor 访问 whosebug.com 且没有脚本阻止的示例 JavaScript:

最近 CloudFlare 在他们的防火墙部分添加了另一个选项,称为 JavaScript 挑战,它将显示一个加载页面,其中包含三个动画点,最多 5 秒:

它似乎也使用 cookie 来保存结果并允许将来在没有 re-testing 的情况下访问。

cloudflare 没有提供很多关于使用这两个选项中的任何一个的最佳应用程序的指导,所以我使用 tor 来测试这个,使用 pcauthority.com.au 中的这些说明——因为我试图阻止特定的国家正在攻击我们的网站:

“唯一需要的配置是指定您只想在特定国家/地区使用出口节点 – 否则您可能会在世界任何地方结束。 为此,请进入 Tor Browser\Data\Tor 文件夹并在记事本等文本编辑器中打开配置文件 'torrc'。

要仅在美国使用出口节点,请将这两行添加到配置文件的末尾:

严格退出节点 1 出口节点 {US}

如果您想从法国浏览,请输入 {FR},依此类推。"

我的 'challenge' 看起来与上面的屏幕快照相似,并且 'js challenge' 几乎无缝地连接到我们的站点。

这是我从 cloudflare 技术支持处收到的指导:"The javascript challenge is unable to be completed by bots/crawlers as the challenge requires javascript to complete (only browsers can complete this) which means both challenges should work here."

Cloudflare 从 Google ReCAPTCHA 切换到 hcaptcha。

https://www.hcaptcha.com/

https://blog.cloudflare.com/moving-from-recaptcha-to-hcaptcha/

cloudflare 博客底部有一张大概是什么样子的图片link。