Token-Domains und Domainlisten - AWS WAFAWS Firewall Manager, und AWS Shield Advanced
Konfiguration der Web-ACL-Token-DomänenlisteSteuerung der Domaineinstellung innerhalb des Tokens

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Token-Domains und Domainlisten

Wenn ein Token für einen Client AWS WAF erstellt wird, wird es mit einer Tokendomäne konfiguriert. Wenn AWS WAF ein Token in einer Webanforderung geprüft wird, lehnt es das Token als ungültig ab, wenn seine Domain mit keiner der Domänen übereinstimmt, die für die Web-ACL als gültig angesehen werden.

Standardmäßig werden AWS WAF nur Token akzeptiert, deren Domäneneinstellung genau mit der Hostdomäne der Ressource übereinstimmt, die der Web-ACL zugeordnet ist. Dies ist der Wert des Host Headers in der Webanforderung. In einem Browser finden Sie diese Domain in der JavaScript window.location.hostname Eigenschaft und in der Adresse, die Ihr Benutzer in seiner Adressleiste sieht.

Sie können auch akzeptable Token-Domänen in Ihrer Web-ACL-Konfiguration angeben, wie im folgenden Abschnitt beschrieben. In diesem Fall AWS WAF akzeptiert sowohl exakte Übereinstimmungen mit dem Host-Header als auch Übereinstimmungen mit Domänen in der Token-Domainliste.

Sie können Token-Domänen angeben AWS WAF , die bei der Festlegung der Domain und bei der Auswertung eines Tokens in einer Web-ACL verwendet werden sollen. Bei den Domänen, die Sie angeben, darf es sich nicht um öffentliche Suffixe handeln, wie z. gov.au Die Domains, die Sie nicht verwenden können, finden Sie in der Liste https://publicsuffix.org/list/public_suffix_list.dat unter Liste der öffentlichen Suffixe.

Konfiguration der Domainliste für Web-ACL-Tokens

Sie können eine Web-ACL so konfigurieren, dass sie Token für mehrere geschützte Ressourcen gemeinsam nutzt, indem Sie eine Token-Domainliste mit den zusätzlichen Domänen bereitstellen, die Sie akzeptieren AWS WAF möchten. Nimmt bei einer Token-Domainliste AWS WAF trotzdem die Host-Domain der Ressource an. Darüber hinaus akzeptiert sie alle Domänen in der Token-Domainliste, einschließlich ihrer Subdomänen mit Präfix.

Eine Domainspezifikation example.com in Ihrer Token-Domainliste entspricht beispielsweise example.com (vonhttp://example.com/)api.example.com, (vonhttp://api.example.com/) und www.example.com (vonhttp://www.example.com/). Sie entspricht example.api.com nicht (vonhttp://example.api.com/) oder apiexample.com (vonhttp://apiexample.com/).

Sie können die Token-Domainliste in Ihrer Web-ACL konfigurieren, wenn Sie sie erstellen oder bearbeiten. Allgemeine Informationen zur Verwaltung einer Web-ACL finden Sie unterArbeiten mit Web-ACLs.

Steuern der Domäneneinstellung innerhalb des Tokens

AWS WAF erstellt Token auf Anforderung der Challenge-Skripte, die von den Anwendungsintegrations-SDKs Challenge und den CAPTCHA Regelaktionen ausgeführt werden.

Die Domäne, die ein Token AWS WAF eingibt, wird durch den Typ des Challenge-Skripts bestimmt, das es anfordert, und durch jede zusätzliche Token-Domänenkonfiguration, die Sie angeben. AWS WAF setzt die Domain im Token auf die kürzeste, allgemeinste Einstellung, die sie in der Konfiguration finden kann.

  • JavaScript SDK — Sie können das JavaScript SDK mit einer Token-Domainspezifikation konfigurieren, die eine oder mehrere Domänen umfassen kann. Bei den Domänen, die Sie konfigurieren, muss es sich um Domänen handeln, AWS WAF die auf der geschützten Hostdomäne und der Tokendomänenliste der Web-ACL basieren, die akzeptiert werden.

    Wenn ein AWS WAF Token für den Client ausgestellt wird, wird die Tokendomäne auf eine Domäne gesetzt, die der Hostdomäne entspricht und die kürzeste ist, sowohl aus der Hostdomäne als auch aus den Domänen in Ihrer konfigurierten Liste. Wenn die Hostdomäne beispielsweise ist api.example.com und die Token-Domainliste dies hatexample.com, AWS WAF verwendet example.com das Token, weil es mit der Host-Domain übereinstimmt und kürzer ist. Wenn Sie in der JavaScript API-Konfiguration keine Token-Domainliste angeben, AWS WAF wird die Domain auf die Hostdomäne der geschützten Ressource gesetzt.

    Weitere Informationen finden Sie unter Bereitstellung von Domains zur Verwendung in den Tokens.

  • Mobiles SDK — In Ihrem Anwendungscode müssen Sie das mobile SDK mit einer Token-Domäneneigenschaft konfigurieren. Bei dieser Eigenschaft muss es sich um eine Domain handeln, AWS WAF die auf der geschützten Host-Domain und der Token-Domainliste der Web-ACL basiert, die Akzeptanz akzeptiert.

    Wenn AWS WAF ein Token für den Client ausgegeben wird, verwendet er diese Eigenschaft als Tokendomäne. AWS WAF verwendet die Hostdomäne nicht in den Tokens, die es für den mobilen SDK-Client ausgibt.

    Weitere Informationen finden Sie in der WAFConfiguration domainName Einstellung unterDie AWS WAF mobile SDK-Spezifikation.

  • ChallengeAktion — Wenn Sie in der Web-ACL eine Token-Domainliste angeben, wird die Token-Domain auf eine Domain AWS WAF gesetzt, die der Hostdomäne entspricht und die kürzeste ist, sowohl aus der Hostdomäne als auch aus den Domains in der Liste. Wenn zum Beispiel die Host-Domain api.example.com und die Token-Domainliste hatexample.com, AWS WAF verwendet example.com das Token, weil es mit der Host-Domain übereinstimmt und kürzer ist. Wenn Sie in der Web-ACL keine Token-Domainliste angeben, AWS WAF wird die Domain auf die Hostdomäne der geschützten Ressource gesetzt.