我之所以联系您,是因为 Google Pay API 团队向我发送了您的信息。我当前的任务是设置 reCAPTCHA 以防止商家卡测试攻击。
我不确定这是否确实是一个与
recaptcha-enterprise这里有:
开发了一个 API 和一个可部署的解决方案,以 WordPress 插件的形式呈现,充当 WooCommerce 支付网关。 用户可以通过支付网关中的 iframe 输入卡的详细信息,然后在将卡输入表单之前对卡进行标记。 此外,我们还提供 Google Pay 作为替代方案,这还涉及在提交表单之前对卡进行标记化。
当前的挑战: 我正在努力解决的情况是这样的:我们的可部署解决方案,特别是 WordPress 插件,使问题变得复杂。为了遵守标准的 reCAPTCHA 集成(必须预先选择一个域以将 reCAPTCHA 列入白名单才能使用 API 密钥),我们必须在一天中的不同时间不断添加大量域地址。虽然我们可以处理前端(我们的域:*.solutionbackenddomainhere.com)和服务器到服务器的交互,但满足 reCAPTCHA 的特定域要求会带来不确定性。
寻求解决方案: 我相信有一个安全的解决方法,即使它需要我们付出相当大的努力来实施。
重要注意事项: 当我们处理经过身份验证的 API 调用时(即需要 reCAPTCHA 时),它们始终与集成相关联。这意味着我们甚至可以从我们的后端获得有关原始域的信息。
我非常感谢您提供的任何见解或建议来阐明此事!
我查看了记录的 reCAPTCHA 要求,并且在过去 3 年里一直致力于此集成 + API。
我不想通配符 API 密钥被任何域窃取和使用,并且我找不到如何以编程方式添加域。
是的,您应该为此使用 reCAPTCHA Enterprise。对于以下详细信息,我将参考 gRPC 客户端库文档,但如果您与 reCAPTCHA Enterprise API 交互的方式是这样,则还有 REST 类似文档。
以编程方式设置域: RecaptchaEnterpriseService 具有
CreateKeyUpdateKeykey.web_settings.allowed_domains 将给定 reCAPTCHA key的域列入白名单。
为了专门防止刷卡攻击和欺诈企图,我建议阅读https://cloud.google.com/recaptcha-enterprise/docs/fraud-prevention