Spécification de domaines de jetons et de listes de domaines dans AWS WAF - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Liste des domaines de ACL jetons WebParamètres du domaine des jetons

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Spécification de domaines de jetons et de listes de domaines dans AWS WAF

Cette section explique comment configurer les domaines qui AWS WAF utilise en jetons et qu'il accepte en jetons.

Lorsque AWS WAF crée un jeton pour un client, il le configure avec un domaine de jetons. Lorsque AWS WAF inspecte un jeton dans une requête Web, il le rejette comme non valide si son domaine ne correspond à aucun des domaines considérés comme valides pour le WebACL.

Par défaut, AWS WAF accepte uniquement les jetons dont le paramètre de domaine correspond exactement au domaine hôte de la ressource associée au WebACL. Il s'agit de la valeur de l'Hosten-tête de la requête Web. Dans un navigateur, vous pouvez trouver ce domaine dans la JavaScript window.location.hostname propriété et dans l'adresse que votre utilisateur voit dans sa barre d'adresse.

Vous pouvez également spécifier des domaines de jetons acceptables dans votre ACL configuration Web, comme décrit dans la section suivante. Dans ce cas, AWS WAF accepte à la fois les correspondances exactes avec l'en-tête de l'hôte et les correspondances avec les domaines de la liste des domaines de jetons.

Vous pouvez spécifier des domaines de jetons pour AWS WAF à utiliser lors de la définition du domaine et lors de l'évaluation d'un jeton sur un site WebACL. Les domaines que vous spécifiez ne peuvent pas être des suffixes publics tels que. gov.au Pour les domaines que vous ne pouvez pas utiliser, consultez la liste https://publicsuffix.org/list/public_suffix_list.dat sous Liste des suffixes publics.

AWS WAF configuration de la liste de domaines de ACL jetons Web

Vous pouvez configurer un site Web ACL pour partager des jetons entre plusieurs ressources protégées en fournissant une liste de domaines de jetons avec les domaines supplémentaires que vous souhaitez. AWS WAF pour accepter. Avec une liste de domaines à jetons, AWS WAF accepte toujours le domaine hôte de la ressource. En outre, il accepte tous les domaines de la liste des domaines symboliques, y compris leurs sous-domaines préfixés.

Par exemple, une spécification example.com de domaine de votre liste de domaines de jetons correspond à example.com (fromhttp://example.com/)api.example.com, (fromhttp://api.example.com/) et www.example.com (fromhttp://www.example.com/). Cela ne correspond pas àexample.api.com, (dehttp://example.api.com/) ou apiexample.com (dehttp://apiexample.com/).

Vous pouvez configurer la liste des domaines de jetons sur votre site Web ACL lorsque vous la créez ou que vous la modifiez. Pour obtenir des informations générales sur la gestion d'un site WebACL, consultezAffichage des statistiques du trafic Web dans AWS WAF.

AWS WAF paramètres de domaine de jetons

AWS WAF crée des jetons à la demande des scripts de défi, qui sont exécutés par l'intégration de l'application SDKs et le Challenge and CAPTCHA actions de règles.

Le domaine qui AWS WAF les ensembles d'un jeton sont déterminés par le type de script de défi qui le demande et par toute configuration de domaine de jeton supplémentaire que vous fournissez. AWS WAF définit le domaine du jeton selon le paramètre le plus court et le plus général qu'il puisse trouver dans la configuration.

  • JavaScript SDK— Vous pouvez configurer la spécification de domaine JavaScript SDK à l'aide d'un jeton, qui peut inclure un ou plusieurs domaines. Les domaines que vous configurez doivent être des domaines qui : AWS WAF acceptera, en fonction du domaine hôte protégé et de la liste des domaines ACL de jetons du Web.

    Lorsque AWS WAF émet un jeton pour le client, il définit le domaine du jeton sur celui qui correspond au domaine hôte et qui est le plus court, parmi le domaine hôte et les domaines de votre liste configurée. Par exemple, si le domaine hôte est api.example.com et que la liste des domaines de jetons en possèdeexample.com, AWS WAF utilise example.com le jeton, car il correspond au domaine hôte et est plus court. Si vous ne fournissez pas de liste de domaines de jetons dans la JavaScript API configuration, AWS WAF définit le domaine sur le domaine hôte de la ressource protégée.

    Pour de plus amples informations, veuillez consulter Fournir des domaines à utiliser dans les jetons.

  • Mobile SDK — Dans le code de votre application, vous devez configurer le mobile SDK avec une propriété de domaine jeton. Cette propriété doit être un domaine qui AWS WAF acceptera, en fonction du domaine hôte protégé et de la liste des domaines ACL de jetons du Web.

    Lorsque AWS WAF émet un jeton pour le client, il utilise cette propriété comme domaine du jeton. AWS WAF n'utilise pas le domaine hôte dans les jetons qu'il émet pour le SDK client mobile.

    Pour plus d'informations, consultez le WAFConfiguration domainName paramètre surAWS WAF SDKspécification mobile.

  • Challenge action — Si vous spécifiez une liste de domaines de jetons sur le WebACL, AWS WAF définit le domaine du jeton sur celui qui correspond au domaine hôte et qui est le plus court, parmi le domaine hôte et les domaines de la liste. Par exemple, si le domaine hôte est api.example.com et que la liste des domaines de jetons en possèdeexample.com, AWS WAF utilise example.com le jeton, car il correspond au domaine hôte et est plus court. Si vous ne fournissez pas de liste de domaines à jetons sur le WebACL, AWS WAF définit le domaine sur le domaine hôte de la ressource protégée.