Usando a API JavaScript de ameaças inteligentes - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Usando a API JavaScript de ameaças inteligentes

Esta seção fornece instruções para usar a API JavaScript de ameaças inteligentes em seu aplicativo cliente.

As APIs de ameaças inteligentes fornecem operações para executar desafios silenciosos no navegador do usuário e para lidar com os tokens do AWS WAF que comprovam o sucesso do desafio e das respostas CAPTCHA.

Implemente a integração com JavaScript primeiro em um ambiente de teste e depois na produção. Para obter orientações adicionais sobre codificação, consulte as seções a seguir.

Para usar as APIs de ameaças inteligentes

  1. Instale as APIs

    Se você usar a API CAPTCHA, você poderá ignorar esta etapa. Quando você instala a API CAPTCHA, o script instala automaticamente as APIs de ameaças inteligentes.

    1. Faça login no Console de gerenciamento da AWS e abra o console do AWS WAF e em https://console.aws.amazon.com/wafv2/homev2.

    2. No painel de navegação, escolha Integração de aplicativos. Na página Integração de aplicativos, você pode ver as opções com guias.

    3. Selecione Integração de ameaças inteligentes

    4. Na guia, selecione o pacote de proteção (ACL da Web) com o qual você deseja fazer a integração. A lista de pacotes de proteção (ACLs da Web) inclui apenas pacotes de proteção (ACLs da Web) que usam o grupo de regras gerenciadas AWSManagedRulesACFPRuleSet, o grupo de regras gerenciadas AWSManagedRulesATPRuleSet, ou o nível de proteção visado do grupo de regras gerenciadas AWSManagedRulesBotControlRuleSet.

    5. Abra o painel SDK JavaScript e copie a tag do script para usar em sua integração.

    6. No código da página da aplicação, na seção <head>, insira a tag de script que você copiou para o pacote de proteção (ACL da Web). Essa inclusão faz com que seu aplicativo cliente recupere automaticamente um token em segundo plano no carregamento da página. 

      <head>
    <script type="text/javascript" src="protection pack (web ACL) integration URL/challenge.js” defer></script>
<head>

      Essa lista <script> é configurada com o recurso defer, mas você pode alterar a configuração para async se quiser um comportamento diferente para sua página.

  2. (Opcional) Adicionar configuração de domínio para os tokens do cliente: por padrão, quando o AWS WAF cria um token, ele usa o domínio do host do recurso associado ao pacote de proteção (ACL da Web). Para fornecer domínios adicionais para as APIs JavaScript, siga as orientações em Fornecimento de domínios para uso nos tokens.

  3. Codificar sua integração de ameaças inteligentes: escreva seu código para garantir que a recuperação do token seja concluída antes que o cliente envie suas solicitações para os endpoints protegidos. Se você já estiver usando a API fetch para fazer sua chamada, poderá substituir o wrapper de integração fetch do AWS WAF. Se você não usa a API fetch, pode usar a operação getToken de integração do AWS WAF. Para ver orientações de codificação, consulte as seções a seguir.

  4. Adicionar verificação de token no pacote de proteção (ACL da Web): adicione pelo menos uma regra ao pacote de proteção (ACL da Web) que verifique se há um token de desafio válido nas solicitações da Web enviadas pelo seu cliente. Você pode usar grupos de regras que verificam e monitoram tokens de desafio, como o nível direcionado do grupo de regras gerenciadas do Controle de Bots, e você pode usar a ação de regra Challenge para verificar, conforme descrito em CAPTCHA e Challenge em AWS WAF.

    As adições do pacote de proteção (ACL da Web) verificam se as solicitações aos endpoints protegidos incluem o token que você adquiriu na integração com o cliente. Solicitações que incluem um token válido e não expirado passam pela inspeção Challenge e não enviam outro desafio silencioso ao seu cliente.

  5. (Opcional) Bloquear solicitações sem tokens: se você usar as APIs com o grupo de regras gerenciadas do ACFP, o grupo de regras gerenciadas do ATP ou as regras direcionadas do grupo de regras do Controle de Bots, essas regras não bloquearão solicitações sem tokens. Para bloquear solicitações sem tokens, siga as orientações em Como bloquear solicitações sem um token do AWS WAF válido.

Tópicos