reCAPTCHA Version 3 gibt für jede Anfrage eine Punktzahl zurück, ohne dass der Vorgang störungsfrei ist. Der Wert basiert auf Interaktionen mit Ihrer Website und ermöglicht es Ihnen, entsprechende Maßnahmen zu ergreifen. Registriere reCAPTCHA v3-Schlüssel in der reCAPTCHA-Admin-Konsole.
Auf dieser Seite wird erläutert, wie Sie reCAPTCHA, Version 3, auf Ihrer Webseite aktivieren und anpassen.
Platzierung auf Ihrer Website
reCAPTCHA v3 unterbricht Ihre Nutzer nie, sodass Sie es jederzeit ausführen können, ohne die Conversion zu beeinträchtigen. reCAPTCHA funktioniert am besten, wenn es den meisten Kontext zu Interaktionen mit Ihrer Website hat, da sowohl legitimes als auch missbräuchliches Verhalten erkannt wird. Aus diesem Grund empfehlen wir, die reCAPTCHA-Bestätigung für Formulare oder Aktionen sowie für die Analyse von Seiten im Hintergrund zu verwenden.
Sie können reCAPTCHA für beliebig viele Aktionen auf derselben Seite ausführen.
Den Wettkampf automatisch an eine Schaltfläche binden
Die einfachste Methode zur Verwendung von reCAPTCHA, Version 3 auf deiner Seite, besteht darin, die erforderliche JavaScript-Ressource einzubinden und der HTML-Schaltfläche einige Attribute hinzuzufügen.
Laden Sie die JavaScript API.
<script src="https://www.google.com/recaptcha/api.js"></script>Fügen Sie eine Callback-Funktion zum Verarbeiten des Tokens hinzu.
<script> function onSubmit(token) { document.getElementById("demo-form").submit(); } </script>Fügen Sie der HTML-Schaltfläche Attribute hinzu.
<button class="g-recaptcha" data-sitekey="reCAPTCHA_site_key" data-callback='onSubmit' data-action='submit'>Submit</button>
Aufruf programmatisch starten
Wenn Sie mehr Kontrolle darüber haben möchten, wann reCAPTCHA ausgeführt wird, können Sie die Methode execute im Objekt grecaptcha verwenden. Dazu müssen Sie dem reCAPTCHA-Skriptaufruf den Parameter render hinzufügen.
Laden Sie die JavaScript API mit Ihrem Websiteschlüssel.
<script src="https://www.google.com/recaptcha/api.js?render=reCAPTCHA_site_key"></script>Rufen Sie bei jeder Aktion, die Sie schützen möchten,
grecaptcha.executeauf.<script> function onClick(e) { e.preventDefault(); grecaptcha.ready(function() { grecaptcha.execute('reCAPTCHA_site_key', {action: 'submit'}).then(function(token) { // Add your logic to submit to your backend server here. }); }); } </script>Senden Sie das Token sofort mit der Anfrage zur Bestätigung an Ihr Back-End.
Die Punktzahl interpretieren
reCAPTCHA v3 gibt einen Wert zurück (1.0 ist sehr wahrscheinlich eine gute Interaktion, 0.0 ist sehr wahrscheinlich ein Bot). Je nach Bewertung können Sie im Kontext Ihrer Website variable Aktionen ausführen. Jede Website ist anders. Nachfolgend finden Sie einige Beispiele dafür, wie Websites die Bewertung verwenden. Gehen Sie wie in den folgenden Beispielen im Hintergrund vor, anstatt den Traffic zu blockieren, um Ihre Website besser zu schützen.
| Anwendungsfall | Empfehlung |
|---|---|
| Startseite | Zeigen Sie eine zusammenhängende Ansicht Ihres Traffics in der Admin-Konsole an, während Sie Scraper filtern. |
| login | Bei niedrigen Punktzahlen ist eine Bestätigung in zwei Schritten oder eine E-Mail-Bestätigung erforderlich, um Credential Stuffing-Angriffe zu verhindern. |
| social | Begrenzen Sie unbeantwortete Freundschaftsanfragen von missbräuchlichen Nutzern und senden Sie riskante Kommentare zur Moderation. |
| E-Commerce | Stellen Sie Ihren realen Umsatz vor Bots und identifizieren Sie riskante Transaktionen. |
reCAPTCHA lernt anhand von realem Traffic auf Ihrer Website. Aus diesem Grund können Punktzahlen in einer Staging-Umgebung oder kurz nach der Implementierung von der Produktion abweichen. Da bei reCAPTCHA v3 der Nutzerfluss nie unterbrochen wird, können Sie reCAPTCHA zuerst ausführen, ohne Maßnahmen zu ergreifen, und dann die Schwellenwerte festlegen, indem Sie den Traffic in der Admin-Konsole prüfen. Standardmäßig können Sie einen Grenzwert von 0, 5 verwenden.
Aktionen
Mit reCAPTCHA v3 wird ein neues Konzept eingeführt: Aktionen. Wenn Sie an jedem Ort, an dem Sie reCAPTCHA ausführen, einen Aktionsnamen angeben, werden die folgenden neuen Funktionen aktiviert:
- Eine detaillierte Aufschlüsselung der Daten für Ihre zehn wichtigsten Aktionen in der Admin-Konsole
- Adaptive Risikoanalyse basierend auf dem Kontext der Aktion, da missbräuchliches Verhalten variieren kann.
Wichtig: Wenn Sie die reCAPTCHA-Antwort prüfen, sollten Sie prüfen, ob der Aktionsname der erwartete Name ist.
Bestätigung der Website bestätigen
Stellen Sie die Anfrage zur Bestätigung des Antworttokens wie bei reCAPTCHA v2 oder Invisible reCAPTCHA.
Die Antwort ist ein JSON-Objekt:
{
"success": true|false, // whether this request was a valid reCAPTCHA token for your site
"score": number // the score for this request (0.0 - 1.0)
"action": string // the action name for this request (important to verify)
"challenge_ts": timestamp, // timestamp of the challenge load (ISO format yyyy-MM-dd'T'HH:mm:ssZZ)
"hostname": string, // the hostname of the site where the reCAPTCHA was solved
"error-codes": [...] // optional
}
tipps
grecaptcha.ready()führt die Funktion aus, wenn die reCAPTCHA-Bibliothek geladen wird. Fügen Sie vor den Skripts, die grecaptcha aufrufen, denapi.jsein oder verwenden Sie weiterhin den Onload-Callback, der mit der API V2 definiert ist, um Race-Bedingungen mitapi.jszu vermeiden.- Versuchen Sie, den
execute-Aufruf für interessante oder sensible Aktionen wie Registrieren, Zurücksetzen des Passworts, Kaufen oder Spielen zu aktivieren. - Verwenden Sie
https://www.google.com/recaptcha/api.js?trustedtypes=true, um Code zu laden, der mit Vertrauenswürdigen Typen kompatibel ist.