CloudFlare CAPTCHA和Challenge页面对用户来说是什么样的？

Question

在CloudFlare Web Application Firewall中，您可以根据IP地址，国家/地区名称或ASN阻止，列入白名单，获取CAPTCHA或JavaScript质询。 CAPTCHA部分提供的唯一注释是：

  

如果您不确定可疑的网络访问者行为是否是非法流量，您可以设置挑战页面。此页面要求访问者成功提交CAPTCHA以继续其操作。如果网络访问者未通过挑战，他们将被阻止访问您的网站。

CAPTCHA和挑战页面是什么样的？

Answer 1

我尝试为自己的IP地址设置挑战，这就是我得到的：

另一项测试显示有时会使用Google reCAPTCHA系统：

这似乎是默认质询页面，但如果您使用的是付费方案，则会出现options to customize以下错误页面：

• IP /国家/地区块
• WAF Block
• 500类错误
• 启用原始错误页面
• 1000类错误
• Always Online™错误
• 基本安全挑战
• WAF挑战赛
• 国家挑战
• 我在攻击模式下的挑战

在防火墙部分，您还可以更改CAPTCHA出现的频率（从5分钟到1年）。

此外，似乎每个域都保存了CAPTCHA响应（可能使用cookie），完成挑战将允许访问该域和所有子域。此外，使用403 Forbidden response code向用户显示挑战页面，如果您从Cloudflare后面的其他域加载那些，并且该域名包含在挑战中而无法完成CAPTCHA，则可能会导致javascript / css出现问题。< / p>

此外，我发现CAPTCHA挑战可以更改IPs with higher threat scores or JavaScript/cookies disabled：

  

@wiretapped验证码来自Google的reCaptcha。 IP =较难挑战页面的威胁评分越高。

这可能会也可能不会发生在IP禁令中，但这里是一个使用noscript阻止JavaScript访问stackoverflow.com的示例：

Answer 2

最近，CloudFlare为其防火墙部分添加了另一个名为 JavaScript Challenge 的选项，该选项将显示一个包含三个动画点的加载页面，最长可达5秒：

它似乎也使用cookie来保存结果，并允许将来访问而无需重新测试。

Answer 3

Cloudflare从Google ReCAPTCHA切换到hcaptcha。

https://www.hcaptcha.com/

https://blog.cloudflare.com/moving-from-recaptcha-to-hcaptcha/

cloudflare博客链接的底部有一张图片。

Answer 4

cloudflare并没有为使用这两个选项中的任何一个提供最佳应用程序提供很多指导，因此我使用tor来测试这个，使用来自pcauthority.com.au的这些说明 - 因为我试图阻止特定国家的锤击我们的网站：

＆＃34;所需的唯一配置是指定您只想在特定国家/地区使用退出节点 - 否则您可能最终在世界的任何地方。 为此，请进入Tor Browser \ Data \ Tor文件夹并打开配置文件＆＃39; torrc＆＃39;在记事本等文本编辑器中。

要仅在美国使用退出节点，请将这两行添加到配置文件的末尾：

StrictExitNodes 1 ExitNodes {US}

如果您想浏览法国，请输入{FR}，依此类推。等等。＆＃34;

我的挑战＆＃39;看起来类似于上面的屏幕快照和'js挑战＆＃39;几乎无缝连接到我们的网站。

这是我从cloudflare技术支持获得的指导：＆＃34;机器人/抓取工具无法完成javascript挑战，因为挑战需要javascript才能完成（只有浏览器可以完成此操作），这意味着两个挑战都应该有效这里＆＃34;