기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
지능형 위협 JavaScript API 사용
지능형 위협 API는 사용자 브라우저에 대해 자동 챌린지를 실행하고, 챌린지 성공 증명 및 CAPTCHA 응답을 제공하는 AWS WAF 토큰을 처리하는 작업을 제공합니다.
먼저 테스트 환경에서 JavaScript 통합을 구현한 다음 프로덕션 환경에서 구현하십시오. 추가 코딩 지침은 다음 섹션을 참조하세요
지능형 위협 API를 사용하려면
API 설치
CAPTCHA API를 사용할 경우 이 단계를 건너뛸 수 있습니다. CAPTCHA API를 설치하면 스크립트가 지능형 위협 API를 자동으로 설치합니다.
https://console.aws.amazon.com/wafv2/
에서 AWS Management Console 로그인하고 AWS WAF 콘솔을 엽니다. -
탐색 창에서 애플리케이션 통합을 선택합니다. 애플리케이션 통합 페이지에서 탭으로 구분된 옵션을 볼 수 있습니다.
지능형 위협 통합을 선택합니다.
탭에서 통합할 웹 ACL을 선택합니다. 웹 ACL 목록에는
AWSManagedRulesACFPRuleSet관리형 규칙 그룹,AWSManagedRulesATPRuleSet관리형 규칙 그룹 또는AWSManagedRulesBotControlRuleSet관리형 규칙 그룹의 대상 보호 수준을 사용하는 웹 ACL만 포함됩니다.JavaScript SDK 패널을 열고 통합에 사용할 스크립트 태그를 복사합니다.
애플리케이션 페이지 코드의
<head>섹션에 웹 ACL용으로 복사한 스크립트 태그를 삽입합니다. 이 포함으로 인해 클라이언트 애플리케이션은 페이지 로드 시 백그라운드에서 토큰을 자동으로 검색합니다.<head> <script type="text/javascript" src="Web ACL integration URL/challenge.js” defer></script> <head>이
<script>목록은defer속성으로 구성되지만 페이지에 다른 동작을 적용하려는 경우 설정을async로 변경할 수 있습니다.
-
(선택 사항) 클라이언트 토큰용 도메인 구성 추가 - 기본적으로 토큰을 AWS WAF 생성할 때 웹 ACL과 연결된 리소스의 호스트 도메인을 사용합니다. JavaScript API에 추가 도메인을 제공하려면 의 지침을 따르십시오. 토큰에 사용할 도메인 제공
-
지능형 위협 통합 코딩 - 클라이언트가 보호되는 엔드포인트로 요청을 보내기 전에 토큰 검색이 완료되도록 코드를 작성합니다. 이미
fetchAPI를 사용하여 호출하고 있는 경우 AWS WAF 통합fetch래퍼를 대체할 수 있습니다.fetchAPI를 사용하지 않는 경우 AWS WAF 통합getToken작업을 대신 사용할 수 있습니다. 코딩 지침은 다음 섹션을 참조하세요. -
웹 ACL에 토큰 확인 추가 - 클라이언트가 보내는 웹 요청에서 유효한 챌린지 토큰이 있는지 확인하는 하나 이상의 규칙을 웹 ACL에 추가합니다. Bot Control 관리형 규칙 그룹의 대상 수준과 같이 챌린지 토큰을 확인하고 모니터링하는 규칙 그룹을 사용할 수 있으며, CAPTCHA그리고 Challenge 안에 AWS WAF에 설명된 대로 Challenge 규칙 작업을 사용하여 확인할 수 있습니다.
웹 ACL 추가는 보호된 엔드포인트에 대한 요청에 클라이언트 통합에서 획득한 토큰이 포함되어 있는지 확인합니다. 유효하고 만료되지 않은 토큰이 포함된 요청은 Challenge 검사를 통과하므로 클라이언트에게 자동 챌린지를 다시 보내지 않습니다.
-
(선택 사항) 토큰이 누락된 요청 차단 - ACFP 관리형 규칙 그룹, ATP 관리형 규칙 그룹 또는 Bot Control 규칙 그룹의 대상 규칙과 함께 API를 사용하는 경우 이러한 규칙은 누락된 토큰이 있는 요청을 차단하지 않습니다. 토큰이 누락된 요청을 차단하려면 유효한 AWS WAF 토큰이 없는 요청 차단의 지침을 따르십시오.
