Especificando domínios de token e listas de domínios em AWS WAF - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, e diretor AWS Shield de segurança de rede

Apresentando uma nova experiência de console para AWS WAF

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Consulte mais detalhes em Trabalhando com a experiência atualizada do console.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Especificando domínios de token e listas de domínios em AWS WAF

Esta seção explica como configurar os domínios que são AWS WAF usados em tokens e que são aceitos em tokens.

Ao AWS WAF criar um token para um cliente, ele o configura com um domínio de token. Ao AWS WAF inspecionar um token em uma solicitação da web, ele rejeita o token como inválido se seu domínio não corresponder a nenhum dos domínios considerados válidos para o pacote de proteção ou a ACL da web.

Por padrão, AWS WAF só aceita tokens cuja configuração de domínio corresponda exatamente ao domínio host do recurso associado ao pacote de proteção ou à ACL da web. Esse é o valor do cabeçalho Host na solicitação da web. Em um navegador, você pode encontrar esse domínio na JavaScript window.location.hostname propriedade e no endereço que o usuário vê na barra de endereço.

Você também pode especificar domínios de token aceitáveis no pacote de proteção ou na configuração da Web ACL, conforme descrito na seção a seguir. Nesse caso, AWS WAF aceita correspondências exatas com o cabeçalho do host e correspondências com domínios na lista de domínios do token.

Você pode especificar domínios de token AWS WAF a serem usados ao definir o domínio e ao avaliar um token em um pacote de proteção ou ACL da web. Os domínios que você especifica não podem ser sufixos públicos, como gov.au. Para os domínios que você não pode usar, consulte a lista https://publicsuffix.org/list/public_suffix_list.dat em Lista pública de sufixos.

AWS WAF configuração da lista de domínios do pacote de proteção ou do token ACL da web

Você pode configurar um pacote de proteção ou uma ACL da web para compartilhar tokens em vários recursos protegidos fornecendo uma lista de domínios de tokens com os domínios adicionais que você AWS WAF deseja aceitar. Com uma lista de domínios de token, AWS WAF ainda aceita o domínio host do recurso. Além disso, ele aceita todos os domínios da lista de domínios de tokens, incluindo seus subdomínios prefixados.

Por exemplo, uma especificação de domínio example.com na sua lista de domínios de tokens corresponde a example.com (de http://example.com/), api.example.com, (de http://api.example.com/) e www.example.com (de http://www.example.com/). Não corresponde a example.api.com, (de http://example.api.com/) ou apiexample.com (de http://apiexample.com/).

Você pode configurar a lista de domínios de tokens em seu pacote de proteção ou Web ACL ao criá-la ou editá-la. Para obter informações gerais sobre o gerenciamento de um pacote de proteção ou Web ACL, consulteVisualizando métricas de tráfego da web em AWS WAF.

AWS WAF configurações de domínio de token

AWS WAF cria tokens a pedido dos scripts de desafio, que são executados pela integração do aplicativo SDKs Challenge e pelas ações da CAPTCHA regra.

O domínio AWS WAF definido em um token é determinado pelo tipo de script de desafio que o está solicitando e por qualquer configuração adicional de domínio de token fornecida por você. AWS WAF define o domínio no token para a configuração mais curta e geral que ele pode encontrar na configuração.

  • JavaScript SDK — Você pode configurar o JavaScript SDK com uma especificação de domínio de token, que pode incluir um ou mais domínios. Os domínios que você configura devem ser domínios que AWS WAF serão aceitos, com base no domínio do host protegido e no pacote de proteção ou na lista de domínios de tokens da Web ACL.

    Quando AWS WAF emite um token para o cliente, ele define o domínio do token como um que corresponda ao domínio do host e seja o mais curto, entre o domínio do host e os domínios na sua lista configurada. Por exemplo, se o domínio do host for api.example.com e a lista de domínios do token tiverexample.com, AWS WAF use example.com o token, porque ele corresponde ao domínio do host e é mais curto. Se você não fornecer uma lista de domínios de token na configuração da JavaScript API, AWS WAF defina o domínio como o domínio host do recurso protegido.

    Para obter mais informações, consulte Fornecimento de domínios para uso nos tokens.

  • SDK móvel: no código do seu aplicativo, você deve configurar o SDK móvel com uma propriedade de domínio de token. Essa propriedade deve ser um domínio que AWS WAF aceite, com base no domínio do host protegido e no pacote de proteção ou na lista de domínios de tokens da ACL da web.

    Ao AWS WAF emitir um token para o cliente, ele usa essa propriedade como domínio do token. AWS WAF não usa o domínio host nos tokens que ele emite para o cliente SDK móvel.

    Para obter mais informações, consulte a configuração WAFConfiguration de domainName em AWS WAF especificação de SDK móvel.

  • Challengeação — Se você especificar uma lista de domínios de token no pacote de proteção ou na ACL da web, AWS WAF defina o domínio de token como aquele que corresponda ao domínio do host e seja o mais curto, entre o domínio do host e os domínios da lista. Por exemplo, se o domínio do host for api.example.com e a lista de domínios do token tiverexample.com, AWS WAF use example.com o token, porque ele corresponde ao domínio do host e é mais curto. Se você não fornecer uma lista de domínios de token no pacote de proteção ou na ACL da web, AWS WAF defina o domínio como o domínio host do recurso protegido.