reCAPTCHA v3 gibt für jede Anfrage eine Punktzahl ohne Beeinträchtigung der Nutzer zurück. Die Punktzahl basiert auf den Interaktionen mit Ihrer Website und ermöglicht Ihnen, geeignete Maßnahmen für Ihre Website zu ergreifen. Registrieren Sie reCAPTCHA v3-Schlüssel in der reCAPTCHA-Admin-Konsole.
Auf dieser Seite wird erläutert, wie Sie reCAPTCHA v3 auf Ihrer Webseite aktivieren und anpassen.
Platzierung auf Ihrer Website
Mit reCAPTCHA v3 werden Ihre Nutzer nicht unterbrochen. Sie können es also jederzeit ausführen, ohne die Conversions zu beeinträchtigen. reCAPTCHA funktioniert am besten, wenn es den meisten Kontext zu Interaktionen mit Ihrer Website bietet, der sowohl durch die Erkennung von legitimem als auch missbräuchlichem Verhalten entsteht. Aus diesem Grund empfehlen wir, die reCAPTCHA-Überprüfung für Formulare oder Aktionen sowie im Hintergrund von Seiten für Analysen einzubinden.
Sie können reCAPTCHA für beliebig viele Aktionen auf derselben Seite ausführen.
Wettkampf automatisch an eine Schaltfläche binden
Am einfachsten können Sie reCAPTCHA v3 auf Ihrer Seite verwenden, indem Sie die erforderliche JavaScript-Ressource und einige Attribute zu Ihrer HTML-Schaltfläche hinzufügen.
Laden Sie die JavaScript API.
<script src="https://www.google.com/recaptcha/api.js"></script>Fügen Sie eine Callback-Funktion hinzu, um das Token zu verarbeiten.
<script> function onSubmit(token) { document.getElementById("demo-form").submit(); } </script>Fügen Sie der HTML-Schaltfläche Attribute hinzu.
<button class="g-recaptcha" data-sitekey="reCAPTCHA_site_key" data-callback='onSubmit' data-action='submit'>Submit</button>
Challenge programmatisch aufrufen
Wenn Sie mehr Kontrolle darüber haben möchten, wann reCAPTCHA ausgeführt wird, können Sie die Methode execute im Objekt grecaptcha verwenden. Dazu müssen Sie dem reCAPTCHA-Skriptaufruf einen render-Parameter hinzufügen.
Laden Sie die JavaScript API mit Ihrem Websiteschlüssel.
<script src="https://www.google.com/recaptcha/api.js?render=reCAPTCHA_site_key"></script>Rufe für jede Aktion, die du schützen möchtest,
grecaptcha.executeauf.<script> function onClick(e) { e.preventDefault(); grecaptcha.ready(function() { grecaptcha.execute('reCAPTCHA_site_key', {action: 'submit'}).then(function(token) { // Add your logic to submit to your backend server here. }); }); } </script>Senden Sie das Token sofort mit der Anfrage zur Überprüfung an Ihr Back-End.
Die Punktzahl interpretieren
reCAPTCHA v3 gibt eine Punktzahl zurück (1,0 ist sehr wahrscheinlich eine gute Interaktion, 0,0 ist sehr wahrscheinlich ein Bot). Auf Grundlage der Punktzahl können Sie auf Ihrer Website verschiedene Maßnahmen ergreifen. Jede Website ist anders. Im Folgenden findest du einige Beispiele dafür, wie Websites den Wert verwenden. Gehen Sie wie in den folgenden Beispielen im Hintergrund vor, anstatt den Traffic zu blockieren, um Ihre Website besser zu schützen.
| Anwendungsfall | Empfehlung |
|---|---|
| Startseite | Zeigen Sie eine zusammenhängende Ansicht Ihres Traffics in der Admin-Konsole an, während Sie Scraper filtern. |
| einloggen | Bei niedrigen Punktzahlen ist eine 2-Faktor-Authentifizierung oder E-Mail-Bestätigung erforderlich, um Credential Stuffing-Angriffe zu verhindern. |
| soziale Medien | Beschränken Sie unbeantwortete Freundschaftsanfragen von missbräuchlichen Nutzern und senden Sie riskante Kommentare zur Moderation. |
| E-Commerce | Stellen Sie Ihren realen Umsatz vor Bots und identifizieren Sie riskante Transaktionen. |
reCAPTCHA lernt, indem es realen Traffic auf Ihrer Website erkennt. Aus diesem Grund können die Punktzahlen in einer Staging-Umgebung oder kurz nach der Implementierung von der Produktion abweichen. Da reCAPTCHA v3 den Nutzerfluss niemals unterbricht, können Sie zuerst reCAPTCHA ausführen, ohne Maßnahmen zu ergreifen, und dann Grenzwerte festlegen, indem Sie sich Ihren Traffic in der Admin-Konsole ansehen. Standardmäßig können Sie einen Schwellenwert von 0, 5 verwenden.
Aktionen
Mit reCAPTCHA v3 wird ein neues Konzept eingeführt: Aktionen. Wenn Sie an jeder Stelle, an der Sie reCAPTCHA ausführen, einen Aktionsnamen angeben, werden die folgenden neuen Funktionen aktiviert:
- Eine detaillierte Aufschlüsselung der Daten für Ihre zehn wichtigsten Aktionen in der Admin-Konsole
- Adaptive Risikoanalyse basierend auf dem Kontext der Aktion, da missbräuchliches Verhalten variieren kann.
Wichtig: Wenn Sie die reCAPTCHA-Antwort prüfen, sollten Sie darauf achten, dass der Aktionsname der erwartete Name ist.
Antwort der Website-Überprüfung
Stellen Sie die Anfrage zur Überprüfung des Antworttokens wie bei reCAPTCHA v2 oder unsichtbarem reCAPTCHA.
Die Antwort ist ein JSON-Objekt:
{
"success": true|false, // whether this request was a valid reCAPTCHA token for your site
"score": number // the score for this request (0.0 - 1.0)
"action": string // the action name for this request (important to verify)
"challenge_ts": timestamp, // timestamp of the challenge load (ISO format yyyy-MM-dd'T'HH:mm:ssZZ)
"hostname": string, // the hostname of the site where the reCAPTCHA was solved
"error-codes": [...] // optional
}
Tipps
grecaptcha.ready()führt die Funktion aus, wenn die reCAPTCHA-Bibliothek geladen wird. Um Race-Bedingungen mit demapi.jszu vermeiden, fügen Sieapi.jsvor den Skripts ein, die reCAPTCHA aufrufen, oder verwenden Sie weiterhin den onload-Callback, der mit der API V2 definiert wurde.- Versuche, den
execute-Aufruf auf interessante oder sensible Aktionen wie Registrieren, Zurücksetzen des Passworts, Kaufen oder Spielen zu verweisen. - Verwenden Sie
https://www.google.com/recaptcha/api.js?trustedtypes=true, um Code zu laden, der mit vertrauenswürdigen Typen kompatibel ist.