Menggunakan JavaScript API ancaman cerdas - AWS WAF, AWS Firewall ManagerAWS Shield Advanced, dan direktur keamanan AWS Shield jaringan

Memperkenalkan pengalaman konsol baru untuk AWS WAF

Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat Bekerja dengan pengalaman konsol yang diperbarui.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan JavaScript API ancaman cerdas

Bagian ini memberikan instruksi untuk menggunakan JavaScript API ancaman cerdas dalam aplikasi klien Anda.

Ancaman cerdas APIs menyediakan operasi untuk menjalankan tantangan diam terhadap browser pengguna, dan untuk menangani AWS WAF token yang memberikan bukti tantangan yang berhasil dan respons CAPTCHA.

Terapkan JavaScript integrasi terlebih dahulu di lingkungan pengujian, kemudian dalam produksi. Untuk panduan pengkodean tambahan, lihat bagian berikut.

Menggunakan Ancaman Cerdas APIs

  1. Instal APIs

    Jika Anda menggunakan CAPTCHA API, Anda dapat melewati langkah ini. Saat Anda menginstal CAPTCHA API, skrip secara otomatis menginstal ancaman cerdas. APIs

    1. Masuk ke AWS Management Console dan buka AWS WAF konsol di https://console.aws.amazon.com/wafv2/homev2.

    2. Di panel navigasi, pilih Integrasi aplikasi. Pada halaman Integrasi aplikasi, Anda dapat melihat opsi tab.

    3. Pilih Integrasi ancaman cerdas

    4. Di tab, pilih paket perlindungan atau ACL web yang ingin Anda integrasikan. Paket perlindungan atau daftar ACL web hanya mencakup paket perlindungan atau web ACLs yang menggunakan grup aturan AWSManagedRulesACFPRuleSet terkelola, grup aturan AWSManagedRulesATPRuleSet terkelola, atau tingkat perlindungan yang ditargetkan dari grup aturan AWSManagedRulesBotControlRuleSet terkelola.

    5. Buka panel JavaScript SDK, dan salin tag skrip untuk digunakan dalam integrasi Anda.

    6. Dalam kode halaman aplikasi Anda, di <head> bagian, masukkan tag skrip yang Anda salin untuk paket perlindungan atau ACL web. Inklusi ini menyebabkan aplikasi klien Anda secara otomatis mengambil token di latar belakang pada pemuatan halaman. 

      <head>
    <script type="text/javascript" src="protection pack or web ACL integration URL/challenge.js” defer></script>
<head>

      <script>Daftar ini dikonfigurasi dengan defer atribut, tetapi Anda dapat mengubah pengaturan async jika Anda menginginkan perilaku yang berbeda untuk halaman Anda.

  2. (Opsional) Tambahkan konfigurasi domain untuk token klien — Secara default, saat AWS WAF membuat token, ia menggunakan domain host dari sumber daya yang terkait dengan paket perlindungan atau ACL web. Untuk menyediakan domain tambahan untuk JavaScript APIs, ikuti panduan diMenyediakan domain untuk digunakan dalam token.

  3. Kode integrasi ancaman cerdas Anda — Tulis kode Anda untuk memastikan bahwa pengambilan token selesai sebelum klien mengirimkan permintaannya ke titik akhir yang dilindungi. Jika Anda sudah menggunakan fetch API untuk melakukan panggilan, Anda dapat mengganti fetch pembungkus AWS WAF integrasi. Jika Anda tidak menggunakan fetch API, Anda dapat menggunakan getToken operasi AWS WAF integrasi sebagai gantinya. Untuk panduan pengkodean, lihat bagian berikut.

  4. Tambahkan verifikasi token di paket perlindungan atau ACL web Anda — Tambahkan setidaknya satu aturan ke paket perlindungan atau ACL web Anda yang memeriksa token tantangan yang valid dalam permintaan web yang dikirim klien Anda. Anda dapat menggunakan grup aturan yang memeriksa dan memantau token tantangan, seperti level target grup aturan terkelola Kontrol Bot, dan Anda dapat menggunakan tindakan Challenge aturan untuk memeriksa, seperti yang dijelaskan dalamCAPTCHAdan Challenge di AWS WAF.

    Paket perlindungan atau penambahan ACL web memverifikasi bahwa permintaan ke titik akhir yang dilindungi menyertakan token yang telah Anda peroleh dalam integrasi klien Anda. Permintaan yang menyertakan token yang valid dan belum kedaluwarsa lulus Challenge inspeksi dan tidak mengirim tantangan diam lain kepada klien Anda.

  5. (Opsional) Blokir permintaan yang tidak memiliki token — Jika Anda menggunakan grup aturan terkelola ACFP, grup aturan terkelola ATP, atau aturan yang ditargetkan dari grup aturan Kontrol Bot, aturan ini tidak memblokir permintaan yang tidak memiliki token. APIs Untuk memblokir permintaan yang tidak memiliki token, ikuti panduan diMemblokir permintaan yang tidak memiliki AWS WAF token yang valid.

Topik