Angabe von Tokendomänen und Domänenlisten in AWS WAF - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, und Direktor für AWS Shield Netzwerksicherheit

Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Angabe von Tokendomänen und Domänenlisten in AWS WAF

In diesem Abschnitt wird erklärt, wie Sie die Domänen konfigurieren, AWS WAF die In-Token verwenden und die In-Tokens akzeptieren.

Wenn ein Token für einen Client AWS WAF erstellt wird, wird es mit einer Tokendomäne konfiguriert. Bei der AWS WAF Überprüfung eines Tokens in einer Webanforderung wird das Token als ungültig zurückgewiesen, wenn seine Domäne mit keiner der Domänen übereinstimmt, die für das Protection Pack oder die Web-ACL als gültig angesehen werden.

Standardmäßig werden AWS WAF nur Token akzeptiert, deren Domäneneinstellung exakt mit der Hostdomäne der Ressource übereinstimmt, die dem Protection Pack oder der Web-ACL zugeordnet ist. Dies ist der Wert des Host Headers in der Webanforderung. In einem Browser finden Sie diese Domain in der JavaScript window.location.hostname Eigenschaft und in der Adresse, die Ihr Benutzer in seiner Adressleiste sieht.

Sie können auch akzeptable Token-Domänen in Ihrer Protection Pack- oder Web-ACL-Konfiguration angeben, wie im folgenden Abschnitt beschrieben. In diesem Fall AWS WAF akzeptiert sowohl exakte Übereinstimmungen mit dem Host-Header als auch Übereinstimmungen mit Domänen in der Token-Domainliste.

Sie können Token-Domänen angeben AWS WAF , die bei der Einrichtung der Domain und bei der Auswertung eines Tokens in einem Protection Pack oder einer Web-ACL verwendet werden sollen. Bei den von Ihnen angegebenen Domänen darf es sich nicht um öffentliche Suffixe wie handeln. gov.au Die Domains, die Sie nicht verwenden können, finden Sie in der Liste https://publicsuffix.org/list/public_suffix_list.dat unter Liste der öffentlichen Suffixe.

AWS WAF Konfiguration der Domainliste für Schutzpakete oder Web-ACL-Tokens

Sie können ein Schutzpaket oder eine Web-ACL so konfigurieren, dass Token für mehrere geschützte Ressourcen gemeinsam genutzt werden, indem Sie eine Token-Domainliste mit den zusätzlichen Domänen bereitstellen, die Sie akzeptieren AWS WAF möchten. Nimmt bei einer Token-Domainliste AWS WAF trotzdem die Host-Domain der Ressource an. Darüber hinaus akzeptiert sie alle Domänen in der Token-Domainliste, einschließlich ihrer Subdomänen mit Präfix.

Eine Domainspezifikation example.com in Ihrer Token-Domainliste entspricht beispielsweise example.com (vonhttp://example.com/)api.example.com, (vonhttp://api.example.com/) und www.example.com (vonhttp://www.example.com/). Sie entspricht example.api.com nicht (vonhttp://example.api.com/) oder apiexample.com (vonhttp://apiexample.com/).

Sie können die Token-Domainliste in Ihrem Protection Pack oder Ihrer Web-ACL konfigurieren, wenn Sie sie erstellen oder bearbeiten. Allgemeine Informationen zur Verwaltung eines Protection Packs oder einer Web-ACL finden Sie unterMetriken zum Web-Traffic anzeigen in AWS WAF.

AWS WAF Einstellungen für die Token-Domäne

AWS WAF erstellt Token auf Anforderung der Challenge-Skripte, die von der Anwendungsintegration SDKs Challenge und den CAPTCHA Regelaktionen ausgeführt werden.

Die Domäne, die ein Token AWS WAF eingibt, wird durch den Typ des Challenge-Skripts bestimmt, das es anfordert, und durch jede zusätzliche Token-Domänenkonfiguration, die Sie angeben. AWS WAF setzt die Domain im Token auf die kürzeste, allgemeinste Einstellung, die sie in der Konfiguration finden kann.

  • JavaScript SDK — Sie können das JavaScript SDK mit einer Token-Domainspezifikation konfigurieren, die eine oder mehrere Domänen umfassen kann. Bei den Domänen, die Sie konfigurieren, muss es sich um Domänen handeln, AWS WAF die auf der geschützten Hostdomäne und der Tokendomänenliste des Protection Packs oder der Token-Domainliste der Web-ACL basieren.

    Bei der AWS WAF Ausgabe eines Tokens für den Client wird die Tokendomäne auf eine Domäne gesetzt, die der Hostdomäne entspricht und die kürzeste ist, sowohl aus der Hostdomäne als auch aus den Domänen in Ihrer konfigurierten Liste. Wenn die Hostdomäne beispielsweise ist api.example.com und die Token-Domainliste dies hatexample.com, AWS WAF verwendet example.com das Token, weil es mit der Host-Domain übereinstimmt und kürzer ist. Wenn Sie in der JavaScript API-Konfiguration keine Token-Domainliste angeben, AWS WAF wird die Domain auf die Hostdomäne der geschützten Ressource gesetzt.

    Weitere Informationen finden Sie unter Bereitstellung von Domains zur Verwendung in den Tokens.

  • Mobiles SDK — In Ihrem Anwendungscode müssen Sie das mobile SDK mit einer Token-Domäneneigenschaft konfigurieren. Bei dieser Eigenschaft muss es sich um eine Domain handeln, die auf der geschützten Host-Domain und dem Protection Pack oder der Token-Domainliste der Web-ACL basiert, akzeptiert. AWS WAF

    Bei AWS WAF der Ausgabe eines Tokens für den Client wird diese Eigenschaft als Tokendomäne verwendet. AWS WAF verwendet die Hostdomäne nicht in den Tokens, die es für den mobilen SDK-Client ausgibt.

    Weitere Informationen finden Sie in der WAFConfiguration domainName Einstellung unterAWS WAF SDK-Spezifikation für Mobilgeräte.

  • ChallengeAktion — Wenn Sie im Protection Pack oder in der Web-ACL eine Token-Domainliste angeben, wird die Token-Domain auf eine Domain AWS WAF gesetzt, die der Hostdomäne entspricht und die kürzeste ist, sowohl aus der Hostdomäne als auch aus den Domains in der Liste. Wenn es sich bei der Hostdomäne beispielsweise um eine Hostdomäne handelt api.example.com und die Token-Domänenliste dies hatexample.com, wird das Token AWS WAF verwendetexample.com, da es mit der Hostdomäne übereinstimmt und kürzer ist. Wenn Sie im Schutzpaket oder in der Web-ACL keine Token-Domainliste angeben, AWS WAF wird die Domain auf die Hostdomäne der geschützten Ressource gesetzt.