**引入全新的主机体验 Amazon WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# CAPTCHA然后Challenge在 Amazon WAF
<a name="waf-captcha-and-challenge"></a>

本节介绍如何使用CAPTCHA和Challenge使用 Amazon WAF。

您可以将 Amazon WAF 规则配置为对符合规则检查标准的 Web 请求运行CAPTCHA或Challenge操作。您还可以对 JavaScript 客户端应用程序进行编程，使其在本地运行 CAPTCHA 拼图和浏览器挑战。

只有当浏览器访问 HTTPS 端点时，才能运行验证码拼图和静默质询。浏览器客户端必须在安全环境中运行才能获取令牌。
+ **CAPTCHA**：要求最终用户完成验证码拼图，以证明是人类在发送请求。验证码拼图旨在让人类相当容易和快速地成功完成拼图，而计算机很难成功完成或随机完成。

  在保护包（web ACl）规则中，当 Block 操作会阻止过多的合法请求时，通常使用验证码，但是让所有流量通过会导致大量不想要的请求，例如来自机器人的请求。有关规则操作行为的信息，请参阅 [CAPTCHA Amazon WAF 和 Challenge 规则操作的工作原理](waf-captcha-and-challenge-how-it-works.md)。

  您还可以在客户端应用程序集成中对验证码拼图实现进行编程。 APIs当这样做时，您可以在客户端应用程序中自定义拼图的行为和位置。有关更多信息，请参阅 [中的客户端应用程序集成 Amazon WAF](waf-application-integration.md)。
+ **Challenge**：运行静默质询，要求客户端会话验证它是浏览器，而不是机器人。验证在后台运行，不涉及最终用户。这是一个不错的选择，可以验证您怀疑无效的客户端，而不会通过验证码拼图对最终用户体验产生负面影响。有关规则操作行为的信息，请参阅 [CAPTCHA Amazon WAF 和 Challenge 规则操作的工作原理](waf-captcha-and-challenge-how-it-works.md)。

  Challenge规则操作与客户端智能威胁集成运行的挑战类似 APIs，如中所述[中的客户端应用程序集成 Amazon WAF](waf-application-integration.md)。

**注意**  
当您在其中一个规则中使用 CAPTCHA 或 Challenge 规则操作或在规则组中将其作为规则操作覆盖时，您需要支付额外费用。有关更多信息，请参阅[Amazon WAF 定价](https://www.amazonaws.cn/waf/pricing/)。

有关所有规则操作选项的信息，请参阅 [在中使用规则操作 Amazon WAF](waf-rule-action.md)。

**Topics**
+ [Amazon WAF 验证码拼图](waf-captcha-puzzle.md)
+ [CAPTCHA Amazon WAF 和 Challenge 规则操作的工作原理](waf-captcha-and-challenge-how-it-works.md)
+ [使用 CAPTCHA 和Challenge 操作的最佳实践](waf-captcha-and-challenge-best-practices.md)