**Presentamos una nueva experiencia de consola para AWS WAF**

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte [Trabajar con la consola](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Cómo funcionan las acciones de regla CAPTCHA y Challenge de AWS WAF
<a name="waf-captcha-and-challenge-how-it-works"></a>

En esta sección se explica cómo funcionan CAPTCHA y Challenge.

AWS WAF CAPTCHAy Challenge son acciones de reglas estándar, por lo que son relativamente fáciles de implementar. Para usar cualquiera de ellas, debe crear los criterios de inspección de la regla que identifican las solicitudes que desea inspeccionar y, a continuación, especificar una de las dos acciones de la regla. Para obtener información general sobre las opciones de acciones de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md).

Además de implementar desafíos silenciosos y acertijos CAPTCHA desde el lado del servidor, puede integrar desafíos silenciosos en sus aplicaciones cliente de JavaScript iOS y Android, y puede renderizar rompecabezas CAPTCHA en sus clientes. JavaScript Estas integraciones le permiten ofrecer a sus usuarios finales un mejor rendimiento y una mejor experiencia con los rompecabezas de CAPTCHA, además de reducir los costos asociados al uso de las acciones de regla y los grupos de reglas de mitigación de amenazas inteligentes. Para obtener más información sobre estas opciones, consulte [Integraciones de aplicaciones cliente en AWS WAF](waf-application-integration.md). Para obtener información acerca de los precios, consulte [AWS WAF Pricing (Precios de Glue)](https://aws.amazon.com/waf/pricing/).

**Topics**
+ [Comportamiento de acción CAPTCHA y Challenge](waf-captcha-and-challenge-actions.md)
+ [Acciones CAPTCHA y Challenge en los registros y las métricas](waf-captcha-and-challenge-logs-metrics.md)

# Comportamiento de acción CAPTCHA y Challenge
<a name="waf-captcha-and-challenge-actions"></a>

En esta sección se explica qué hacen las acciones CAPTCHA y Challenge.

Cuando una solicitud web coincide con los criterios de inspección de una regla CAPTCHA o una Challenge acción, AWS WAF determina cómo gestionar la solicitud según el estado de su token y la configuración del tiempo de inmunidad. AWS WAF también tiene en cuenta si la solicitud puede gestionar el rompecabezas de CAPTCHA o los intersticiales de los scripts de desafío. Los scripts están diseñados para ser tratados como contenido HTML y solo un cliente que espere contenido HTML puede gestionarlos correctamente. 

**nota**  
Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).

**Cómo gestiona la acción la solicitud web**  
AWS WAF aplica la Challenge acción CAPTCHA o a una solicitud web de la siguiente manera:
+ **Token válido**: lo AWS WAF gestiona de forma similar a una Count acción. AWS WAF aplica las etiquetas y personalizaciones de solicitud que haya configurado para la acción de la regla y, a continuación, continúa evaluando la solicitud con las demás reglas del paquete de protección (ACL web). 
+ **Token faltante, no válido o caducado**: AWS WAF interrumpe la evaluación de la solicitud por parte del paquete de protección (ACL web) e impide que se dirija a su destino previsto. 

  AWS WAF genera una respuesta que envía al cliente, según el tipo de acción de la regla: 
  + **Challenge**: AWS WAF incluye lo que se detalla a continuación en la respuesta:
    + El encabezado `x-amzn-waf-action` con un valor de `challenge`.
**nota**  
En el caso de las aplicaciones de JavaScript que se ejecutan en el navegador del cliente, este encabezado solo está disponible en el dominio de la aplicación. El encabezado no está disponible para su recuperación entre dominios. Para obtener detalles, consulte la siguiente sección.
    + El código de estado HTTP `202 Request Accepted`.
    + Si la solicitud contiene un `Accept` encabezado con un valor de`text/html`, la respuesta incluye una JavaScript página intersticial con un script de desafío.
  + **CAPTCHA**— AWS WAF incluye lo siguiente en la respuesta:
    + El encabezado `x-amzn-waf-action` con un valor de `captcha`.
**nota**  
En el caso de las aplicaciones de JavaScript que se ejecutan en el navegador del cliente, este encabezado solo está disponible en el dominio de la aplicación. El encabezado no está disponible para su recuperación entre dominios. Para obtener detalles, consulte la siguiente sección.
    + El código de estado HTTP `405 Method Not Allowed`.
    + Si la solicitud contiene un `Accept` encabezado con un valor de`text/html`, la respuesta incluye un intersticial de JavaScript página con un script CAPTCHA. 

Para configurar el momento de vencimiento del token de reglas o de paquete de protección (ACL web), consulte [Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF](waf-tokens-immunity-times.md).

**Los encabezados no están disponibles para las JavaScript aplicaciones que se ejecutan en el navegador del cliente**  
Cuando AWS WAF responde a una solicitud de un cliente con un CAPTCHA o una respuesta a un desafío, no incluye los encabezados de intercambio de recursos entre orígenes (CORS). Los encabezados CORS son un conjunto de encabezados de control de acceso que indican al navegador web del cliente qué dominios, métodos HTTP y encabezados HTTP pueden utilizar las aplicaciones. JavaScript Sin los encabezados CORS, JavaScript las aplicaciones que se ejecutan en el navegador de un cliente no tienen acceso a los encabezados HTTP y, por lo tanto, no pueden leer el `x-amzn-waf-action` encabezado que se proporciona en las respuestas y. CAPTCHA Challenge 

**Función de los intersticiales de desafío y CAPTCHA**  
Cuando se ejecuta un desafío intersticial, después de que el cliente responda correctamente, si aún no tiene un token, el intersticial inicializa uno para él. A continuación, actualiza el token con la marca de tiempo de resolución del desafío.

Cuando se ejecuta un intersticial de CAPTCHA, si el cliente aún no tiene un token, el intersticial de CAPTCHA invoca primero el script de desafío para desafiar al navegador e inicializar el token. Luego, el intersticial ejecuta su rompecabezas de CAPTCHA. Cuando el usuario final complete correctamente el rompecabezas, el intersticial actualiza el token con la marca de tiempo de resolución del CAPTCHA. 

En cualquier caso, una vez que el cliente responde correctamente y el script actualiza el token, el script vuelve a enviar la solicitud web original utilizando el token actualizado. 

Puede configurar la forma AWS WAF en que gestiona los tokens. Para obtener información, consulte [Uso de tokens en la mitigación AWS WAF inteligente de amenazas](waf-tokens.md).

# Acciones CAPTCHA y Challenge en los registros y las métricas
<a name="waf-captcha-and-challenge-logs-metrics"></a>

En esta sección se explica cómo AWS WAF se gestionan los registros CAPTCHA y las métricas de Challenge las acciones.

Las acciones CAPTCHA y Challenge pueden ser de no finalización, como Count, o de finalización, como Block. El resultado depende de si la solicitud tiene un token válido con una marca de tiempo vigente para el tipo de acción. 
+ **Token válido**: cuando la acción encuentra un token válido y no bloquea la solicitud, AWS WAF captura las métricas y los registros de la siguiente manera:
  + Incrementa las métricas de `CaptchaRequests` y `RequestsWithValidCaptchaToken` o `ChallengeRequests` y `RequestsWithValidChallengeToken`. 
  + Registra la coincidencia como una entrada `nonTerminatingMatchingRules` con una acción CAPTCHA o Challenge. La siguiente lista muestra la sección de un registro para este tipo de coincidencia con la acción CAPTCHA.

    ```
        "nonTerminatingMatchingRules": [
        {
          "ruleId": "captcha-rule",
          "action": "CAPTCHA",
          "ruleMatchDetails": [],
          "captchaResponse": {
            "responseCode": 0,
            "solveTimestamp": 1632420429
          }
        }
      ]
    ```
+ **Token faltante, no válido o caducado**: cuando la acción bloquea la solicitud porque falta un token o no es válido, AWS WAF captura las métricas y los registros de la siguiente manera:
  + Incrementa la métrica para `CaptchaRequests` o `ChallengeRequests`. 
  + Registra la coincidencia como una entrada `CaptchaResponse` con código de estado HTTP `405` o como una entrada `ChallengeResponse` con código de estado HTTP `202`. El registro indica si a la solicitud le faltaba el token o si tenía una marca de tiempo caducada. El registro también indica si AWS WAF se envió una página intersticial de CAPTCHA al cliente o si se envió un desafío silencioso al navegador del cliente. La siguiente lista muestra la sección de un registro para este tipo de coincidencia con la acción de CAPTCHA.

    ```
        "terminatingRuleId": "captcha-rule",
        "terminatingRuleType": "REGULAR",
        "action": "CAPTCHA",
        "terminatingRuleMatchDetails": [],
        ...
        "responseCodeSent": 405,
        ...
        "captchaResponse": {
          "responseCode": 405,
          "solveTimestamp": 0,
          "failureReason": "TOKEN_MISSING"
        }
    ```

Para obtener información sobre los registros, consulte AWS WAF . [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md)

Para obtener información sobre AWS WAF las métricas, consulte[AWS WAF métricas y dimensiones](waf-metrics.md).

Para obtener información general sobre las opciones de acciones de las reglas, consulte [Uso de acciones de reglas en AWS WAF](waf-rule-action.md).

**Las solicitudes sin token aparecen dos veces en los registros y las métricas.**  
Según [Comportamiento de acción CAPTCHA y Challenge](waf-captcha-and-challenge-actions.md) y los registros y las métricas descritos en esta sección, una solicitud sin token generalmente se representa dos veces en los registros y las métricas. Esto se debe a que el cliente envía dos veces la misma solicitud.
+ La primera solicitud, sin token, recibe la gestión de registros y métricas descritos anteriormente en caso de que el token falte, no sea válido o haya caducado. Las acciones CAPTCHA o Challenge finalizan esta primera solicitud y luego, responden al cliente con un desafío silencioso o un rompecabezas de CAPTCHA. 
+ El cliente evalúa el desafío o el rompecabezas y, si el navegador del cliente o el usuario final responde correctamente, envía la solicitud por segunda vez con el token recién generado. Esta segunda solicitud recibe la gestión de registros y métricas descritos anteriormente para una solicitud con un token válido.