Ein reCAPTCHA-Schlüssel ist normalerweise an eine Reihe von einzelnen Domains oder Paketnamen gebunden. Für Webnutzer ist das API-Schlüsselpaar für die von Ihnen angegebenen Domains und Subdomains der ersten Ebene eindeutig. Die Angabe mehrerer Domains kann sich als nützlich erweisen, wenn Sie Ihre Website über mehrere Top-Level-Domains bereitstellen.
Wenn Sie beispielsweise das API-Schlüsselpaar für yoursite.com angeben, sehen Sie in der folgenden Tabelle, ob reCAPTCHA für die Domain und ihre Subdomainvarianten funktioniert. Wenn Sie andere Domainnamen oder TLDs angeben, z. B. anothersite.com oder anothersite.com, gelten dieselben reCAPTCHA-Bedingungen.
| Angegebene Domain | Website-Domain | Funktioniert reCAPTCHA? |
|---|---|---|
| yoursite.com | yoursite.com | Ja |
| www.yoursite.com | Ja | |
| subdomain.yoursite.com | Ja | |
| subdomain.yoursite.com:8080 | Ja |
Wenn Sie „localhost“ für die Entwicklung verwenden möchten, müssen Sie ihn zur Liste der Domains hinzufügen.
Bei Nutzern von Mobilgeräten ist das API-Schlüsselpaar nur für die angegebenen Paketnamen eindeutig, z. B. com.google.recaptcha.test.
Wenn Ihre Liste mit Domain- oder Paketnamen sehr lang, flexibel oder unbekannt ist, können Sie die Überprüfung der Domain- oder Paketnamen bei reCAPTCHA deaktivieren und stattdessen auf Ihrem Server nachsehen.
Gehen Sie dazu in der Admin-Konsole für Ihren Schlüssel zu „Advanced Settings“ (Erweiterte Einstellungen) und entfernen Sie das Häkchen aus dem Kästchen „Domain/Package Name Validation“ (Validierung von Domain-/Paketnamen).
Sicherheitswarnung
Das Deaktivieren dieses Schutzes stellt ein großes Sicherheitsrisiko dar – Ihr Schlüssel könnte von jedem abgenommen und verwendet werden, da es keine Einschränkungen im Hinblick auf die Website gibt, auf der er sich befindet. Daher müssen Sie beim Verifizieren einer Lösung das Feld für den Hostnamen/das Paket prüfen und alle Lösungen ablehnen, die aus unerwarteten Quellen stammen.