**Présentation d'une nouvelle expérience de console pour AWS WAF**
Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section [Utilisation de la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Réglage des paramètres des instructions de règle dans AWS WAF
Cette section décrit les paramètres que vous pouvez spécifier dans les instructions de règle qui inspectent un composant de la requête Web. Pour plus d'informations sur l'utilisation, consultez les instructions de règles individuelles à l'adresse[Utilisation des instructions de règles de correspondance dans AWS WAF](waf-rule-statements-match.md).
Un sous-ensemble de ces composants de requête Web peut également être utilisé dans des règles basées sur le taux, sous forme de clés d'agrégation de demandes personnalisées. Pour plus d'informations, consultez [Agrégation des règles basées sur les taux dans AWS WAF](waf-rule-statement-type-rate-based-aggregation-options.md).
Pour les paramètres du composant de demande, vous spécifiez le type de composant lui-même, ainsi que toutes les options supplémentaires, en fonction du type de composant. Par exemple, lorsque vous inspectez un type de composant contenant du texte, vous pouvez lui appliquer des transformations de texte avant de l'inspecter.
**Note**
Sauf indication contraire, si une requête Web ne possède pas le composant de demande spécifié dans l'instruction de règle, la demande est AWS WAF évaluée comme ne correspondant pas aux critères de la règle.
**Contents**
+ [Demandez des composants dans AWS WAF](waf-rule-statement-fields-list.md)
+ [Méthode HTTP](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-http-method)
+ [En-tête seul](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-header)
+ [Tous les en-têtes](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-headers)
+ [Ordre des en-têtes](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-header-order)
+ [Cookies](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-cookies)
+ [fragment d'URI](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-fragment)
+ [chemin de l'URI](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-path)
+ [JA3 empreinte digitale](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja3-fingerprint)
+ [JA4 empreinte digitale](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja4-fingerprint)
+ [Chaîne de requête](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-query-string)
+ [Paramètre de requête unique](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-query-param)
+ [Tous les paramètres de requête](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-all-query-params)
+ [Corps de texte](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-body)
+ [corps JSON](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-json-body)
+ [Utilisation des adresses IP transférées dans AWS WAF](waf-rule-statement-forwarded-ip-address.md)
+ [Inspection des pseudo-en-têtes HTTP/2 dans AWS WAF](waf-rule-statement-request-components-for-http2-pseudo-headers.md)
+ [Utilisation de transformations de texte dans AWS WAF](waf-rule-statement-transformation.md)
# Demandez des composants dans AWS WAF
Cette section décrit les composants de la requête Web que vous pouvez spécifier pour inspection. Vous spécifiez le composant de demande pour les instructions de règle de correspondance qui recherchent des modèles dans la requête Web. Ces types d'instructions incluent les instructions de correspondance de chaîne, de correspondance régulière, de contrainte de taille et d'attaque par injection SQL. Pour plus d'informations sur l'utilisation de ces paramètres de composant de requête, consultez les instructions de règle individuelles à l'adresse [Utilisation des instructions de règles de correspondance dans AWS WAF](waf-rule-statements-match.md)
Sauf indication contraire, si une requête Web ne possède pas le composant de demande spécifié dans l'instruction de règle, la demande est AWS WAF évaluée comme ne correspondant pas aux critères de la règle.
**Note**
Vous spécifiez un composant de demande unique pour chaque instruction de règle qui le requiert. Pour inspecter plusieurs composants d'une demande, créez une instruction de règle pour chacun d'eux.
La documentation de la AWS WAF console et de l'API fournit des conseils sur les paramètres des composants de demande aux emplacements suivants :
+ **Générateur de règles** sur la console : dans les paramètres de **déclaration** pour un type de règle normal, choisissez le composant que vous souhaitez inspecter dans la boîte de dialogue **Inspecter** sous **Composants de demande**.
+ **Contenu de la déclaration d'API** — `FieldToMatch`
Le reste de cette section décrit les options relatives à la partie de la requête Web à inspecter.
**Topics**
+ [Méthode HTTP](#waf-rule-statement-request-component-http-method)
+ [En-tête seul](#waf-rule-statement-request-component-single-header)
+ [Tous les en-têtes](#waf-rule-statement-request-component-headers)
+ [Ordre des en-têtes](#waf-rule-statement-request-component-header-order)
+ [Cookies](#waf-rule-statement-request-component-cookies)
+ [fragment d'URI](#waf-rule-statement-request-component-uri-fragment)
+ [chemin de l'URI](#waf-rule-statement-request-component-uri-path)
+ [JA3 empreinte digitale](#waf-rule-statement-request-component-ja3-fingerprint)
+ [JA4 empreinte digitale](#waf-rule-statement-request-component-ja4-fingerprint)
+ [Chaîne de requête](#waf-rule-statement-request-component-query-string)
+ [Paramètre de requête unique](#waf-rule-statement-request-component-single-query-param)
+ [Tous les paramètres de requête](#waf-rule-statement-request-component-all-query-params)
+ [Corps de texte](#waf-rule-statement-request-component-body)
+ [corps JSON](#waf-rule-statement-request-component-json-body)
## Méthode HTTP
Inspecte la méthode HTTP pour la demande. La méthode HTTP indique le type d'opération que la requête Web demande à votre ressource protégée d'effectuer, telle que `POST` ou`GET`.
## En-tête seul
Inspecte un seul en-tête nommé dans la demande.
Pour cette option, vous spécifiez le nom de l'en-tête, par exemple, `User-Agent` ou`Referer`. La correspondance de chaîne pour le nom ne fait pas la distinction majuscules/minuscules et est effectuée après avoir supprimé les espaces de début et de fin de l'en-tête de la demande et de la règle.
## Tous les en-têtes
Inspecte tous les en-têtes de demande, y compris les cookies. Vous pouvez appliquer un filtre pour inspecter un sous-ensemble de tous les en-têtes.
Pour cette option, vous devez fournir les spécifications suivantes :
+ **Modèles de correspondance** : filtre à utiliser pour obtenir un sous-ensemble d'en-têtes à inspecter. AWS WAF recherche ces modèles dans les touches d'en-tête.
Le paramètre des modèles de correspondance peut être l'un des suivants :
+ **Toutes** — Faites correspondre toutes les clés. Évaluez les critères d'inspection des règles pour tous les en-têtes.
+ **En-têtes exclus** : inspectez uniquement les en-têtes dont les clés ne correspondent à aucune des chaînes que vous spécifiez ici. La correspondance de chaîne pour une clé ne fait pas la distinction majuscules/minuscules. La correspondance est effectuée après avoir découpé les espaces de début et de fin de l'en-tête de la demande et de la règle de correspondance.
+ **En-têtes inclus** : inspectez uniquement les en-têtes dont la clé correspond à l'une des chaînes que vous spécifiez ici. La correspondance de chaîne pour une clé ne fait pas la distinction majuscules/minuscules. La correspondance est effectuée après avoir découpé les espaces de début et de fin de l'en-tête de la demande et de la règle de correspondance.
+ **Champ d'application du match** : parties des en-têtes qui AWS WAF doivent être inspectées selon les critères d'inspection des règles. Vous pouvez spécifier **des clés**, **des valeurs** ou **tout** pour inspecter à la fois les clés et les valeurs pour détecter une correspondance.
**Tout** ne nécessite pas qu'une correspondance soit trouvée dans les clés et qu'une correspondance soit trouvée dans les valeurs. Cela nécessite qu'une correspondance soit trouvée dans les clés ou les valeurs, ou dans les deux. Pour exiger une correspondance entre les clés et les valeurs, utilisez une `AND` instruction logique pour combiner deux règles de correspondance, l'une inspectant les clés et l'autre les valeurs.
+ **Gestion des données surdimensionnées** — AWS WAF Comment gérer les demandes dont les données d'en-tête sont supérieures à ce que AWS WAF vous pouvez inspecter ? AWS WAF peut inspecter au maximum les 8 premiers Ko (8 192 octets) des en-têtes de requête et au plus les 200 premiers en-têtes. Le contenu peut être consulté AWS WAF jusqu'à la première limite atteinte. Vous pouvez choisir de poursuivre l'inspection ou de sauter l'inspection et de marquer la demande comme correspondant ou non à la règle. Pour plus d'informations sur la gestion du contenu surdimensionné, consultez[Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).
## Ordre des en-têtes
Inspectez une chaîne contenant la liste des noms d'en-tête de la demande, classés tels qu'ils apparaissent dans la demande Web qui est AWS WAF reçue pour inspection. AWS WAF génère la chaîne, puis l'utilise comme champ pour faire correspondre le composant lors de son inspection. AWS WAF sépare les noms des en-têtes dans la chaîne par des deux-points et sans espaces ajoutés, par exemple`host:user-agent:accept:authorization:referer`.
Pour cette option, vous devez fournir les spécifications suivantes :
+ **Gestion des données surdimensionnées** — Comment AWS WAF gérer les demandes dont les données d'en-tête sont plus nombreuses ou plus volumineuses que celles que l' AWS WAF on peut inspecter ? AWS WAF peut inspecter au maximum les 8 premiers Ko (8 192 octets) des en-têtes de requête et au plus les 200 premiers en-têtes. Le contenu peut être consulté AWS WAF jusqu'à la première limite atteinte. Vous pouvez choisir de continuer à inspecter les en-têtes disponibles ou d'ignorer l'inspection et de marquer la demande comme correspondant ou non à la règle. Pour plus d'informations sur la gestion du contenu surdimensionné, consultez[Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).
## Cookies
Inspecte tous les cookies de demande. Vous pouvez appliquer un filtre pour inspecter un sous-ensemble de tous les cookies.
Pour cette option, vous devez fournir les spécifications suivantes :
+ **Modèles de correspondance** : filtre à utiliser pour obtenir un sous-ensemble de cookies à inspecter. AWS WAF recherche ces modèles dans les clés des cookies.
Le paramètre des modèles de correspondance peut être l'un des suivants :
+ **Toutes** — Faites correspondre toutes les clés. Évaluez les critères d'inspection des règles pour tous les cookies.
+ **Cookies exclus** : inspectez uniquement les cookies dont les clés ne correspondent à aucune des chaînes que vous spécifiez ici. La correspondance de chaîne pour une clé distingue les majuscules et minuscules et doit être exacte.
+ **Cookies inclus** : inspectez uniquement les cookies dont la clé correspond à l'une des chaînes que vous spécifiez ici. La correspondance de chaîne pour une clé distingue les majuscules et minuscules et doit être exacte.
+ **Champ d'application du match** : parties des cookies qui AWS WAF doivent être inspectées selon les critères d'inspection des règles. Vous pouvez spécifier **des clés**, **des valeurs** ou **tout pour les** clés et les valeurs.
**Tout** ne nécessite pas qu'une correspondance soit trouvée dans les clés et qu'une correspondance soit trouvée dans les valeurs. Cela nécessite qu'une correspondance soit trouvée dans les clés ou les valeurs, ou dans les deux. Pour exiger une correspondance entre les clés et les valeurs, utilisez une `AND` instruction logique pour combiner deux règles de correspondance, l'une inspectant les clés et l'autre les valeurs.
+ **Gestion des données surdimensionnées** — Comment AWS WAF gérer les demandes dont les données de cookies sont trop volumineuses pour AWS WAF être inspectées ? AWS WAF peut inspecter au maximum les 8 premiers Ko (8 192 octets) des cookies de demande et au plus les 200 premiers cookies. Le contenu peut être consulté AWS WAF jusqu'à la première limite atteinte. Vous pouvez choisir de poursuivre l'inspection ou de sauter l'inspection et de marquer la demande comme correspondant ou non à la règle. Pour plus d'informations sur la gestion du contenu surdimensionné, consultez[Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).
## fragment d'URI
**Note**
L'inspection des fragments d'URI n'est disponible que pour les CloudFront distributions et les équilibreurs de charge d'application.
Inspecte la partie d'une URL qui suit le symbole « \$1 », fournissant des informations supplémentaires sur la ressource, par exemple, \$1section2. Pour plus d'informations, voir [Uniform Resource Identifier (URI) : syntaxe générique](https://tools.ietf.org/html/rfc3986#section-3).
Si vous n'utilisez pas de transformation de texte avec cette option, elle AWS WAF ne normalise pas le fragment d'URI et ne l'inspecte pas exactement tel qu'il le reçoit du client dans la demande. Pour plus d'informations sur les transformations de texte, consultez[Utilisation de transformations de texte dans AWS WAF](waf-rule-statement-transformation.md).
**Exigences relatives à l'énoncé des règles**
Vous devez fournir un comportement de remplacement pour cette déclaration de règle. Le comportement de remplacement est le statut de correspondance que vous souhaitez attribuer AWS WAF à la requête Web si l'URI manque le fragment ou si le service associé n'est pas Application Load CloudFront Balancer ou. Si vous choisissez de faire correspondre, AWS WAF traite la demande comme correspondant à l'instruction de règle et applique l'action de règle à la demande. Si vous choisissez de ne pas correspondre, AWS WAF traite la demande comme ne correspondant pas à l'instruction de règle.
## chemin de l'URI
Inspecte la partie d'une URL qui identifie une ressource, par exemple,`/images/daily-ad.jpg`. Pour plus d'informations, voir [Uniform Resource Identifier (URI) : syntaxe générique](https://tools.ietf.org/html/rfc3986#section-3).
Si vous n'utilisez pas de transformation de texte avec cette option, elle AWS WAF ne normalise pas l'URI et ne l'inspecte pas exactement telle qu'elle est reçue du client dans la demande. Pour plus d'informations sur les transformations de texte, consultez[Utilisation de transformations de texte dans AWS WAF](waf-rule-statement-transformation.md).
## JA3 empreinte digitale
Inspecte l' JA3 empreinte digitale de la demande.
**Note**
JA3 l'inspection des empreintes digitales n'est disponible que pour les CloudFront distributions Amazon et les équilibreurs de charge d'application.
L' JA3 empreinte digitale est un hachage de 32 caractères dérivé du client TLS Hello d'une demande entrante. Cette empreinte sert d'identifiant unique pour la configuration TLS du client. AWS WAF calcule et enregistre cette empreinte pour chaque demande contenant suffisamment d'informations TLS Client Hello pour le calcul. Presque toutes les demandes sur le Web incluent ces informations.
**Comment obtenir l' JA3 empreinte digitale d'un client**
Vous pouvez obtenir l' JA3 empreinte digitale des demandes d'un client à partir des journaux du pack de protection (ACL Web). S'il AWS WAF est capable de calculer l'empreinte digitale, il l'inclut dans les journaux. Pour plus d'informations sur les champs de journalisation, consultez[Champs de journal pour le trafic du pack de protection (ACL Web)](logging-fields.md).
**Exigences relatives à l'énoncé des règles**
Vous ne pouvez inspecter l' JA3 empreinte digitale que dans une instruction de correspondance de chaîne définie pour correspondre exactement à la chaîne que vous fournissez. Fournissez la chaîne JA3 d'empreinte issue des journaux dans votre spécification d'instruction de correspondance de chaîne, afin qu'elle corresponde à toute future demande ayant la même configuration TLS. Pour plus d'informations sur l'instruction de correspondance des chaînes, consultez[Instruction de correspondance de chaîne de règle](waf-rule-statement-type-string-match.md).
Vous devez fournir un comportement de remplacement pour cette déclaration de règle. Le comportement de remplacement est le statut de correspondance que vous souhaitez attribuer AWS WAF à la requête Web si AWS WAF vous ne parvenez pas à calculer l' JA3 empreinte digitale. Si vous choisissez de faire correspondre, AWS WAF traite la demande comme correspondant à l'instruction de règle et applique l'action de règle à la demande. Si vous choisissez de ne pas correspondre, AWS WAF traite la demande comme ne correspondant pas à l'instruction de règle.
Pour utiliser cette option de correspondance, vous devez enregistrer le trafic de votre pack de protection (ACL Web). Pour plus d'informations, consultez [Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md).
## JA4 empreinte digitale
Inspecte l' JA4 empreinte digitale de la demande.
**Note**
JA4 l'inspection des empreintes digitales n'est disponible que pour les CloudFront distributions Amazon et les équilibreurs de charge d'application.
L' JA4 empreinte digitale est un hachage de 36 caractères dérivé du client TLS Hello d'une demande entrante. Cette empreinte sert d'identifiant unique pour la configuration TLS du client. JA4 l'empreinte digitale est une extension de l' JA3 empreinte digitale qui peut réduire le nombre d'empreintes uniques pour certains navigateurs. AWS WAF calcule et enregistre cette empreinte pour chaque demande contenant suffisamment d'informations TLS Client Hello pour le calcul. Presque toutes les demandes sur le Web incluent ces informations.
**Comment obtenir l' JA4 empreinte digitale d'un client**
Vous pouvez obtenir l' JA4 empreinte digitale des demandes d'un client à partir des journaux du pack de protection (ACL Web). S'il AWS WAF est capable de calculer l'empreinte digitale, il l'inclut dans les journaux. Pour plus d'informations sur les champs de journalisation, consultez[Champs de journal pour le trafic du pack de protection (ACL Web)](logging-fields.md).
**Exigences relatives à l'énoncé des règles**
Vous ne pouvez inspecter l' JA4 empreinte digitale que dans une instruction de correspondance de chaîne définie pour correspondre exactement à la chaîne que vous fournissez. Fournissez la chaîne JA4 d'empreinte issue des journaux dans votre spécification d'instruction de correspondance de chaîne, afin qu'elle corresponde à toute future demande ayant la même configuration TLS. Pour plus d'informations sur l'instruction de correspondance des chaînes, consultez[Instruction de correspondance de chaîne de règle](waf-rule-statement-type-string-match.md).
Vous devez fournir un comportement de remplacement pour cette déclaration de règle. Le comportement de remplacement est le statut de correspondance que vous souhaitez attribuer AWS WAF à la requête Web si AWS WAF vous ne parvenez pas à calculer l' JA4 empreinte digitale. Si vous choisissez de faire correspondre, AWS WAF traite la demande comme correspondant à l'instruction de règle et applique l'action de règle à la demande. Si vous choisissez de ne pas correspondre, AWS WAF traite la demande comme ne correspondant pas à l'instruction de règle.
Pour utiliser cette option de correspondance, vous devez enregistrer le trafic de votre pack de protection (ACL Web). Pour plus d'informations, consultez [Trafic du pack de AWS WAF protection de journalisation (ACL Web)](logging.md).
## Chaîne de requête
Inspecte la partie de l'URL qui apparaît après un `?` caractère, le cas échéant.
**Note**
Pour les instructions de correspondance basées sur des scripts intersites, nous vous recommandons de choisir **Tous les paramètres de requête** au lieu de Chaîne de **requête**. La sélection de **tous les paramètres de requête** ajoute 10 % WCUs au coût de base.
## Paramètre de requête unique
Inspecte un seul paramètre de requête que vous avez défini dans le cadre de la chaîne de requête. AWS WAF inspecte la valeur du paramètre que vous spécifiez.
Pour cette option, vous devez également spécifier un **argument de requête**. Par exemple, si l'URL est`www.xyz.com?UserName=abc&SalesRegion=seattle`, vous pouvez spécifier `UserName` ou `SalesRegion` pour l'argument de requête. La longueur maximale du nom de l'argument est de 30 caractères. Le nom ne distingue pas les majuscules et minuscules. Ainsi, si vous le spécifiez`UserName`, il AWS WAF correspond à toutes les variantes de`UserName`, y compris `username` et`UsERName`.
Si la chaîne de requête contient plusieurs instances de l'argument de requête que vous avez spécifié, AWS WAF examine toutes les valeurs pour détecter une correspondance, en utilisant la OR logique. Par exemple, dans l'URL `www.xyz.com?SalesRegion=boston&SalesRegion=seattle`, AWS WAF évalue le nom que vous avez spécifié par rapport à `boston` et `seattle`. Si l'un ou l'autre est une correspondance, l'inspection est une correspondance.
## Tous les paramètres de requête
Inspecte tous les paramètres de requête contenus dans la demande. Cela est similaire au choix d'un composant de requête unique, mais AWS WAF inspecte les valeurs de tous les arguments de la chaîne de requête. Par exemple, si l'URL est `www.xyz.com?UserName=abc&SalesRegion=seattle`, AWS WAF déclenche une correspondance si la valeur de `UserName` ou `SalesRegion` correspond aux critères d'inspection.
Le choix de cette option ajoute 10 WCUs \$1 au coût de base.
## Corps de texte
Inspecte le corps de la demande, évalué sous forme de texte brut. Vous pouvez également évaluer le corps au format JSON à l'aide du type de JSON contenu.
Le corps de la demande est la partie de la demande qui suit immédiatement les en-têtes de la demande. Il contient toutes les données supplémentaires nécessaires à la requête Web, par exemple les données d'un formulaire.
+ Dans la console, sélectionnez cette option dans le **corps** de l'**option de demande**, en sélectionnant le **type de contenu** **Texte brut**.
+ Dans l'API, dans la `FieldToMatch` spécification de la règle, vous spécifiez `Body` d'inspecter le corps de la demande sous forme de texte brut.
Pour Application Load Balancer et AWS AppSync, AWS WAF peut inspecter les 8 premiers Ko du corps d'une requête. Par défaut CloudFront, API Gateway, Amazon Cognito, App Runner et Verified Access AWS WAF peuvent inspecter les 16 premiers Ko, et vous pouvez augmenter la limite jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Pour de plus amples informations, veuillez consulter [Considérations relatives à la gestion de l'inspection corporelle dans AWS WAF](web-acl-setting-body-inspection-limit.md).
Vous devez spécifier la gestion des surdimensionnements pour ce type de composant. La gestion des données surdimensionnées définit le AWS WAF mode de traitement des demandes dont les données corporelles sont trop volumineuses pour AWS WAF être inspectées. Vous pouvez choisir de poursuivre l'inspection ou de sauter l'inspection et de marquer la demande comme correspondant ou non à la règle. Pour plus d'informations sur la gestion du contenu surdimensionné, consultez[Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).
Vous pouvez également évaluer le corps sous forme de JSON analysé. Pour plus d'informations à ce sujet, consultez la section qui suit.
## corps JSON
Inspecte le corps de la demande, évalué au format JSON. Vous pouvez également évaluer le corps sous forme de texte brut.
Le corps de la demande est la partie de la demande qui suit immédiatement les en-têtes de la demande. Il contient toutes les données supplémentaires nécessaires à la requête Web, par exemple les données d'un formulaire.
+ Dans la console, vous pouvez le sélectionner dans le choix de l'**option de demande** **Body**, en sélectionnant le choix du **type de contenu** **JSON**.
+ Dans l'API, dans la `FieldToMatch` spécification de la règle, vous spécifiez`JsonBody`.
Pour Application Load Balancer et AWS AppSync, AWS WAF peut inspecter les 8 premiers Ko du corps d'une requête. Par défaut CloudFront, API Gateway, Amazon Cognito, App Runner et Verified Access AWS WAF peuvent inspecter les 16 premiers Ko, et vous pouvez augmenter la limite jusqu'à 64 Ko dans la configuration de votre pack de protection (ACL Web). Pour de plus amples informations, veuillez consulter [Considérations relatives à la gestion de l'inspection corporelle dans AWS WAF](web-acl-setting-body-inspection-limit.md).
Vous devez spécifier la gestion des surdimensionnements pour ce type de composant. La gestion des données surdimensionnées définit le AWS WAF mode de traitement des demandes dont les données corporelles sont trop volumineuses pour AWS WAF être inspectées. Vous pouvez choisir de poursuivre l'inspection ou de sauter l'inspection et de marquer la demande comme correspondant ou non à la règle. Pour plus d'informations sur la gestion du contenu surdimensionné, consultez[Composants de requête Web surdimensionnés dans AWS WAF](waf-oversize-request-components.md).
Le choix de cette option double le coût de base du relevé de match WCUs. Par exemple, si le coût de base de l'instruction match est de 5 WCUs sans analyse JSON, l'utilisation de l'analyse JSON double le coût à 10. WCUs
Pour cette option, vous devez fournir des spécifications supplémentaires, comme décrit dans la section suivante.
**Comment AWS WAF gère l'inspection du corps JSON**
Lorsqu'il AWS WAF inspecte le corps de la requête Web au format JSON, il exécute des étapes pour analyser le corps et extraire les éléments JSON à des fins d'inspection. AWS WAF exécute ces étapes conformément à vos choix de configuration.
La liste suivante répertorie les étapes qui s' AWS WAF exécutent.
1. **Analyse le contenu du corps : AWS WAF analyse le contenu** du corps de la requête Web afin d'extraire les éléments JSON à des fins d'inspection. AWS WAF fait de son mieux pour analyser l'intégralité du contenu du corps, mais l'analyse peut échouer en raison de divers états d'erreur dans le contenu. Les exemples incluent les caractères non valides, les clés dupliquées, la troncature et le contenu dont le nœud racine n'est pas un objet ou un tableau.
L'option **Body parsing fallback behavior** détermine ce qui se passe si elle AWS WAF ne parvient pas à analyser complètement le corps JSON :
+ **Aucun (comportement par défaut)** : AWS WAF évalue le contenu uniquement jusqu'au point où il a rencontré une erreur d'analyse.
+ **Evaluer en tant que chaîne** - Inspectez le corps en tant que texte brut. AWS WAF applique les transformations de texte et les critères d'inspection que vous avez définis pour l'inspection JSON à la chaîne du corps du texte.
+ **Match** : traitez la requête Web comme correspondant à l'instruction de règle. AWS WAF applique l'action de règle à la demande.
+ **Aucune correspondance** : considérez la requête Web comme ne correspondant pas à l'instruction de règle.
**Note**
Ce comportement de secours ne se déclenche qu'en cas d' AWS WAF erreur lors de l'analyse de la chaîne JSON.
**L'analyse ne valide pas complètement le JSON**
AWS WAF l'analyse ne valide pas complètement la chaîne JSON d'entrée, de sorte que l'analyse peut réussir même pour un JSON non valide.
Par exemple, AWS WAF analyse le code JSON non valide suivant sans erreur :
+ Virgule manquante : `{"key1":"value1""key2":"value2"}`
+ Deux-points manquant : `{"key1":"value1","key2""value2"}`
+ Deux-points supplémentaire : `{"key1"::"value1","key2""value2"}`
Dans de tels cas où l'analyse réussit mais où le résultat n'est pas un JSON complètement valide, le résultat des étapes suivantes de l'évaluation peut varier. L'extraction peut omettre certains éléments ou l'évaluation des règles peut avoir des résultats inattendus. Nous vous recommandons de valider le JSON que vous recevez dans votre application et de gérer le JSON non valide selon les besoins.
1. **Extraire les éléments JSON** : AWS WAF identifie le sous-ensemble d'éléments JSON à inspecter en fonction de vos paramètres :
+ L'option **JSON match scope** indique les types d'éléments du JSON qui AWS WAF doivent être inspectés.
Vous pouvez spécifier **des clés**, **des valeurs** ou **tout pour les** clés et les valeurs.
**Tout** ne nécessite pas qu'une correspondance soit trouvée dans les clés et qu'une correspondance soit trouvée dans les valeurs. Cela nécessite qu'une correspondance soit trouvée dans les clés ou les valeurs, ou dans les deux. Pour exiger une correspondance entre les clés et les valeurs, utilisez une `AND` instruction logique pour combiner deux règles de correspondance, l'une inspectant les clés et l'autre les valeurs.
+ L'option **Contenu à inspecter** indique comment filtrer l'ensemble d'éléments en fonction du sous-ensemble que vous AWS WAF souhaitez inspecter.
Vous devez spécifier l'une des options suivantes :
+ **Contenu JSON complet** : évaluez tous les éléments.
+ **Éléments inclus uniquement** : évaluez uniquement les éléments dont les chemins correspondent aux critères de pointeur JSON que vous fournissez. N'utilisez pas cette option pour indiquer *tous les* chemins dans le JSON. Utilisez plutôt le **contenu JSON complet**.
Pour plus d'informations sur la syntaxe du pointeur JSON, consultez la documentation du pointeur [JSON (JavaScript Object Notation) de l'Internet Engineering Task Force (IETF)](https://tools.ietf.org/html/rfc6901).
Par exemple, dans la console, vous pouvez fournir les informations suivantes :
```
/dogs/0/name
/dogs/1/name
```
Dans l'API ou la CLI, vous pouvez fournir les éléments suivants :
```
"IncludedPaths": ["/dogs/0/name", "/dogs/1/name"]
```
Supposons, par exemple, que le paramètre **Contenu à inspecter** soit **Uniquement les éléments inclus** et que le paramètre Éléments inclus soit défini comme tel`/a/b`.
Pour l'exemple de corps JSON suivant :
```
{
"a":{
"c":"d",
"b":{
"e":{
"f":"g"
}
}
}
}
```
Les ensembles d'éléments qui AWS WAF vérifieraient chaque paramètre de **portée de correspondance JSON** sont répertoriés ci-dessous. Notez que la clé`b`, qui fait partie du chemin des éléments inclus, n'est pas évaluée.
+ **Tous** :`e`, `f,` et`g`.
+ **Clés** : `e` et`f`.
+ **Valeurs** :`g`.
1. **Inspectez le jeu d'éléments JSON** : AWS WAF applique les transformations de texte que vous avez spécifiées aux éléments JSON extraits, puis compare l'ensemble d'éléments obtenu aux critères de correspondance de l'instruction de règle. Il s'agit du même comportement de transformation et d'évaluation que pour les autres composants de requête Web. Si l'un des éléments JSON extraits correspond, la requête Web correspond à la règle.
# Utilisation des adresses IP transférées dans AWS WAF
Cette section s'applique aux instructions de règles qui utilisent l'adresse IP d'une requête Web. Par défaut, AWS WAF utilise l'adresse IP de l'origine de la requête Web. Toutefois, si une requête Web passe par un ou plusieurs proxys ou équilibreurs de charge, l'origine de la demande Web contiendra l'adresse du dernier proxy, et non l'adresse d'origine du client. Dans ce cas, l'adresse du client d'origine est généralement transmise dans un autre en-tête HTTP. Cet en-tête est généralement `X-Forwarded-For` (XFF), mais il peut être différent.
**Déclarations de règles utilisant des adresses IP**
Les instructions de règle qui utilisent les adresses IP sont les suivantes :
+ [Correspondance d'ensemble d'adresses IP](waf-rule-statement-type-ipset-match.md)- Vérifie si l'adresse IP correspond aux adresses définies dans un ensemble d'adresses IP.
+ [Correspondance géographique](waf-rule-statement-type-geo-match.md)- Utilise l'adresse IP pour déterminer le pays et la région d'origine et compare le pays d'origine à une liste de pays.
+ [ASN match](waf-rule-statement-type-asn-match.md)- Utilise l'adresse IP pour déterminer le numéro de système autonome (ASN) et compare l'ASN à une liste de. ASNs
+ [Utilisation d'instructions de règles basées sur les taux](waf-rule-statement-type-rate-based.md)- Peut agréger les demandes par adresse IP pour s'assurer qu'aucune adresse IP individuelle n'envoie de demandes à un rythme trop élevé. Vous pouvez utiliser l'agrégation d'adresses IP seule ou en combinaison avec d'autres clés d'agrégation.
Vous pouvez demander d' AWS WAF utiliser une adresse IP transférée pour chacune de ces instructions de règle, que ce soit à partir de l'`X-Forwarded-For`en-tête ou d'un autre en-tête HTTP, au lieu d'utiliser l'origine de la requête Web. Pour plus de détails sur la manière de fournir les spécifications, consultez les instructions relatives aux différents types d'instructions de règles.
**Note**
Si un en-tête est manquant, AWS WAF évalue toute instruction utilisant cet en-tête comme « Aucune correspondance ». Si vous utilisez une instruction NOT avec un résultat « Aucune correspondance », l'évaluation est AWS WAF convertie en « Correspondance ». Les en-têtes manquants ne déclenchent pas de comportement de repli, seules les valeurs d'en-tête non valides le font.
**Comportement de secours**
Lorsque vous utilisez l'adresse IP transférée, vous indiquez le statut de correspondance AWS WAF à attribuer à la requête Web si celle-ci ne possède pas d'adresse IP valide à la position spécifiée :
+ **MATCH** - Traitez la requête Web comme correspondant à l'instruction de règle. AWS WAF applique l'action de règle à la demande.
+ **AUCUNE CORRESPONDANCE** - Traitez la requête Web comme ne correspondant pas à l'instruction de règle.
**Adresses IP utilisées dans AWS WAF Bot Control**
Le groupe de règles géré par Bot Control vérifie les robots à l'aide des adresses IP de AWS WAF. Si vous utilisez Bot Control et que vous avez vérifié les bots qui acheminent via un proxy ou un équilibreur de charge, vous devez les autoriser explicitement à l'aide d'une règle personnalisée. Par exemple, vous pouvez configurer une règle personnalisée de correspondance des ensembles d'adresses IP qui utilise les adresses IP transférées pour détecter et autoriser vos robots vérifiés. Vous pouvez utiliser cette règle pour personnaliser la gestion de votre bot de différentes manières. Pour plus d'informations et d'exemples, consultez [AWS WAF Contrôle des robots](waf-bot-control.md).
**Considérations générales relatives à l'utilisation des adresses IP transférées**
Avant d'utiliser une adresse IP transférée, prenez note des mises en garde générales suivantes :
+ Un en-tête peut être modifié par des proxys en cours de route, et les proxys peuvent gérer l'en-tête de différentes manières.
+ Les attaquants peuvent modifier le contenu de l'en-tête pour tenter de contourner AWS WAF les inspections.
+ L'adresse IP contenue dans l'en-tête peut être mal formée ou non valide.
+ L'en-tête que vous spécifiez peut ne pas être présent du tout dans une demande.
**Considérations relatives à l'utilisation d'adresses IP transférées avec AWS WAF**
La liste suivante décrit les exigences et les mises en garde relatives à l'utilisation d'adresses IP transférées dans : AWS WAF
+ Pour chaque règle, vous pouvez spécifier un en-tête pour l'adresse IP transférée. La spécification de l'en-tête ne distingue pas les majuscules et minuscules.
+ Pour les instructions de règle basées sur le taux, les instructions de portée imbriquées n'héritent pas de la configuration IP transférée. Spécifiez la configuration de chaque instruction qui utilise une adresse IP transférée.
+ Pour la correspondance géographique, la correspondance ASN et les règles basées sur le taux, AWS WAF utilise la première adresse de l'en-tête. Par exemple, si un en-tête contient des `10.1.1.1, 127.0.0.0, 10.10.10.10` AWS WAF utilisations `10.1.1.1`
+ Pour la correspondance des ensembles d'adresses IP, vous indiquez s'il convient de faire correspondre la première, la dernière ou une adresse quelconque de l'en-tête. Si vous en spécifiez une, AWS WAF inspecte toutes les adresses de l'en-tête pour détecter une correspondance, jusqu'à 10 adresses. Si l'en-tête contient plus de 10 adresses, AWS WAF inspecte les 10 dernières.
+ Les en-têtes contenant plusieurs adresses doivent être séparées par des virgules. Si une demande utilise un séparateur autre qu'une virgule, AWS WAF considère que les adresses IP de l'en-tête sont mal formées.
+ Si les adresses IP contenues dans l'en-tête sont mal formées ou non valides, AWS WAF indique que la requête Web correspond à la règle ou ne correspond pas, selon le comportement de secours que vous spécifiez dans la configuration IP transférée.
+ Si l'en-tête que vous spécifiez n'est pas présent dans une demande, la règle AWS WAF n'y est pas du tout appliquée. Cela signifie que AWS WAF cela n'applique pas l'action de la règle et n'applique pas le comportement de repli.
+ Une instruction de règle qui utilise un en-tête IP transféré pour l'adresse IP n'utilisera pas l'adresse IP indiquée par l'origine de la requête Web.
**Bonnes pratiques d'utilisation des adresses IP transférées avec AWS WAF**
Lorsque vous utilisez des adresses IP transférées, suivez les bonnes pratiques suivantes :
+ Examinez attentivement tous les états possibles de vos en-têtes de demande avant d'activer la configuration IP transférée. Il se peut que vous deviez utiliser plusieurs règles pour obtenir le comportement souhaité.
+ Pour inspecter plusieurs en-têtes IP transférés ou pour inspecter l'origine de la requête Web et un en-tête IP transféré, utilisez une règle pour chaque source d'adresse IP.
+ Pour bloquer les requêtes Web dont l'en-tête n'est pas valide, définissez l'action de règle à bloquer et définissez le comportement de secours correspondant à la configuration IP transférée.
**Exemple de JSON pour les adresses IP transférées**
L'instruction de correspondance géographique suivante ne correspond que si l'`X-Forwarded-For`en-tête contient une adresse IP dont le pays d'origine est `US` :
```
{
"Name": "XFFTestGeo",
"Priority": 0,
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "XFFTestGeo"
},
"Statement": {
"GeoMatchStatement": {
"CountryCodes": [
"US"
],
"ForwardedIPConfig": {
"HeaderName": "x-forwarded-for",
"FallbackBehavior": "MATCH"
}
}
}
}
```
La règle basée sur le débit suivante agrège les demandes en fonction de la première adresse IP de l'`X-Forwarded-For`en-tête. La règle ne compte que les demandes correspondant à l'instruction de correspondance géographique imbriquée et bloque uniquement les demandes correspondant à l'instruction de correspondance géographique. L'instruction de correspondance géographique imbriquée utilise également l'`X-Forwarded-For`en-tête pour déterminer si l'adresse IP indique le pays d'origine de. `US` Si c'est le cas, ou si l'en-tête est présent mais mal formé, l'instruction geo match renvoie une correspondance.
```
{
"Name": "XFFTestRateGeo",
"Priority": 0,
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "XFFTestRateGeo"
},
"Statement": {
"RateBasedStatement": {
"Limit": "100",
"AggregateKeyType": "FORWARDED_IP",
"ScopeDownStatement": {
"GeoMatchStatement": {
"CountryCodes": [
"US"
],
"ForwardedIPConfig": {
"HeaderName": "x-forwarded-for",
"FallbackBehavior": "MATCH"
}
}
},
"ForwardedIPConfig": {
"HeaderName": "x-forwarded-for",
"FallbackBehavior": "MATCH"
}
}
}
}
```
# Inspection des pseudo-en-têtes HTTP/2 dans AWS WAF
Cette section explique comment inspecter les pseudo-en-têtes HTTP/2. AWS WAF
Les AWS ressources protégées qui prennent en charge le trafic HTTP/2 ne transmettent pas les pseudo-en-têtes HTTP/2 à des AWS WAF fins d'inspection, mais elles fournissent le contenu des pseudo-en-têtes dans les composants de requête Web qui inspectent. AWS WAF
Vous pouvez l'utiliser AWS WAF pour inspecter uniquement les pseudo-en-têtes répertoriés dans le tableau suivant.
**Le contenu du pseudo en-tête HTTP/2 est mappé aux composants de la requête Web**
| Pseudo-en-tête HTTP/2 | Composant de requête Web à inspecter | Documentation |
| --- | --- | --- |
| `:method` | Méthode HTTP | [Méthode HTTP](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-http-method) |
| `:authority` | En-tête `Host` | [En-tête seul](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-header) [Tous les en-têtes](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-headers) |
| `:path`chemin de l'URI | chemin de l'URI | [chemin de l'URI](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-path) |
| `:path` query | Chaîne de requête | [Chaîne de requête](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-query-string) [Paramètre de requête unique](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-query-param) [Tous les paramètres de requête](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-all-query-params) |
# Utilisation de transformations de texte dans AWS WAF
Cette section explique comment fournir des transformations AWS WAF à appliquer avant d'inspecter la demande.
Dans les instructions qui recherchent des modèles ou définissent des contraintes, vous pouvez fournir des transformations AWS WAF à appliquer avant d'inspecter la demande. Les transformations de texte éliminent certaines mises en forme inhabituelles que les pirates informatiques utilisent afin de contourner AWS WAF.
Lorsque vous l'utilisez avec la sélection du composant de requête du corps de la requête JSON, AWS WAF applique vos transformations après avoir analysé et extrait les éléments à inspecter à partir du JSON. Pour de plus amples informations, veuillez consulter [corps JSON](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-json-body).
Si vous fournissez plusieurs transformations, vous définissez également l'ordre que AWS WAF doit leur appliquer.
**WCUs**— Chaque transformation de texte vaut 10WCUs.
La documentation de la AWS WAF console et de l'API fournit également des instructions concernant ces paramètres aux emplacements suivants :
+ **Générateur de règles** sur la console — **Transformation de texte**. Cette option est disponible lorsque vous utilisez les composants de demande.
+ **Contenu de la déclaration d'API** — `TextTransformations`Options pour les transformations de texte
Chaque liste de transformation indique les spécifications de la console et de l'API suivies d'une description.
Base64 decode – `BASE64_DECODE`
AWS WAF décode une chaîne codée en Base64.
Base64 decode extension – `BASE64_DECODE_EXT`
AWS WAF décode une chaîne codée en Base64, mais utilise une implémentation indulgente qui ignore les caractères non valides.
Command line – `CMD_LINE`
Cette option limite les situations dans lesquelles des attaquants pourraient injecter une commande de ligne de commande du système d'exploitation et utiliser un formatage inhabituel pour masquer une partie ou la totalité de la commande.
Utilisez cette option pour exécuter les transformations suivantes :
+ Supprimer les caractères suivants : `\ " ' ^`
+ Supprimer les espaces avant les caractères suivants : `/ (`
+ Remplacer les caractères suivants par un espace : `, ;`
+ Remplacer plusieurs espaces par un espace
+ Convertir les lettres majuscules `A-Z`, en minuscules, `a-z`
Compress whitespace – `COMPRESS_WHITE_SPACE`
AWS WAF compresse les espaces blancs en remplaçant plusieurs espaces par un espace et en remplaçant les caractères suivants par un espace (ASCII 32) :
+ Formfeed (ASCII 12)
+ Onglet (ASCII 9)
+ Nouvelle ligne (ASCII 10)
+ Retour en calèche (ASCII 13)
+ Onglet vertical (ASCII 11)
+ Espace ininterrompu (ASCII 160)
CSS decode – `CSS_DECODE`
AWS WAF décode les caractères codés à l'aide des règles d'échappement CSS 2.x. `syndata.html#characters` Cette fonction utilise jusqu'à deux octets dans le processus de décodage. Elle peut donc contribuer à découvrir les caractères ASCII qui ont été codés à l'aide d'un codage CSS et qui ne serait généralement pas codés. Elle est également utile pour contrer l'évasion, qui est une combinaison d'une barre oblique inversée et de caractères non hexadécimaux. Par exemple, `ja\vascript` ou `javascript`.
Escape sequences decode – `ESCAPE_SEQ_DECODE`
AWS WAF décode les séquences d'échappement ANSI C suivantes :`\a`,,`\b`,`\f`,`\n`,`\r`,`\t`,`\v`, `\\` `\?``\'`, `\xHH` (hexadécimal)`\"`, `\0OOO` (octal). Les encodages qui ne sont pas valides restent dans la sortie.
Hex decode – `HEX_DECODE`
AWS WAF décode une chaîne de caractères hexadécimaux en binaire.
HTML entity decode – `HTML_ENTITY_DECODE`
AWS WAF remplace les caractères représentés au format hexadécimal `&#xhhhh;` ou au format décimal `&#nnnn;` par les caractères correspondants.
AWS WAF remplace les caractères codés HTML suivants par des caractères non codés. Cette liste utilise un codage HTML en minuscules, mais le traitement ne fait pas la distinction majuscules/minuscules, par exemple, `&QuOt;` et est traitée de la `"` même manière.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/waf/latest/developerguide/waf-rule-statement-transformation.html)
JS decode – `JS_DECODE`
AWS WAF décode les séquences JavaScript d'échappement. Si un `\uHHHH` code se situe dans la plage de code ASCII pleine largeur de`FF01-FF5E`, l'octet le plus élevé est utilisé pour détecter et ajuster l'octet inférieur. Dans le cas contraire, seul l'octet inférieur est utilisé et l'octet supérieur est mis à zéro, ce qui peut entraîner une perte d'informations.
Lowercase – `LOWERCASE`
AWS WAF convertit les lettres majuscules (A-Z) en minuscules (a-z).
MD5 – `MD5`
AWS WAF calcule un MD5 hachage à partir des données de l'entrée. Le hachage calculé est au format binaire brut.
None – `NONE`
AWS WAF inspecte la demande Web telle qu'elle a été reçue, sans aucune transformation de texte.
Normalize path – `NORMALIZE_PATH`
AWS WAF normalise la chaîne d'entrée en supprimant les barres obliques multiples, les références automatiques de répertoire et les références arrières de répertoire qui ne se trouvent pas au début de l'entrée.
Normalize path Windows – `NORMALIZE_PATH_WIN`
AWS WAF convertit les barres obliques inverses en barres obliques directes, puis traite la chaîne résultante à l'aide de la transformation. `NORMALIZE_PATH`
Remove nulls – `REMOVE_NULLS`
AWS WAF supprime tous les `NULL` octets de l'entrée.
Replace comments – `REPLACE_COMMENTS`
AWS WAF remplace chaque occurrence d'un commentaire de style C (/\$1... \$1/) par un seul espace. Il ne compresse pas plusieurs occurrences consécutives. Il remplace les commentaires non terminés par un espace (ASCII 0x20). Cela ne change rien à la fin autonome d'un commentaire (\$1/).
Replace nulls – `REPLACE_NULLS`
AWS WAF remplace chaque `NULL` octet de l'entrée par le caractère espace (ASCII 0x20).
SQL hex decode – `SQL_HEX_DECODE`
AWS WAF décode les données hexadécimales SQL. Par exemple, AWS WAF décode (`0x414243`) vers (`ABC`).
URL decode – `URL_DECODE`
AWS WAF décode une valeur codée en URL.
URL decode Unicode – `URL_DECODE_UNI`
Comme`URL_DECODE`, mais avec le support du codage spécifique à Microsoft. `%u` Si le code se trouve dans la plage de codes ASCII dans toute sa largeur de `FF01-FF5E`, l'octet supérieur est utilisé pour détecter et ajuster l'octet inférieur. Sinon, seul l'octet inférieur est utilisé et l'octet supérieur est mis à zéro.
UTF8 to Unicode – `UTF8_TO_UNICODE`
AWS WAF convertit toutes les séquences de caractères UTF-8 en Unicode. Cela permet de normaliser la saisie et de minimiser les faux positifs et les faux négatifs pour les langues autres que l'anglais.