Usando a JavaScript API de ameaças inteligentes - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, e diretor AWS Shield de segurança de rede

Apresentando uma nova experiência de console para AWS WAF

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Consulte mais detalhes em Trabalhando com a experiência atualizada do console.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando a JavaScript API de ameaças inteligentes

Esta seção fornece instruções para usar a JavaScript API de ameaças inteligentes em seu aplicativo cliente.

A ameaça inteligente APIs fornece operações para executar desafios silenciosos no navegador do usuário e para lidar com os AWS WAF tokens que comprovam o sucesso do desafio e das respostas CAPTCHA.

Implemente a JavaScript integração primeiro em um ambiente de teste e depois na produção. Para obter orientações adicionais sobre codificação, consulte as seções a seguir.

Para usar a ameaça inteligente APIs

  1. Instale o APIs

    Se você usar a API CAPTCHA, você poderá ignorar esta etapa. Quando você instala a API CAPTCHA, o script instala automaticamente a ameaça inteligente. APIs

    1. Faça login no AWS Management Console e abra o AWS WAF console em https://console.aws.amazon.com/wafv2/homev2.

    2. No painel de navegação, escolha Integração de aplicativos. Na página Integração de aplicativos, você pode ver as opções com guias.

    3. Selecione Integração de ameaças inteligentes

    4. Na guia, selecione o pacote de proteção (Web ACL) com o qual você deseja integrar. A lista de pacotes de proteção (web ACL) inclui somente pacotes de proteção (web ACLs) que usam o grupo de regras AWSManagedRulesACFPRuleSet gerenciadas, o grupo de regras AWSManagedRulesATPRuleSet gerenciadas ou o nível de proteção desejado do grupo de regras AWSManagedRulesBotControlRuleSet gerenciadas.

    5. Abra o painel JavaScript SDK e copie a tag do script para usar em sua integração.

    6. No código da página do aplicativo, na <head> seção, insira a tag de script que você copiou para o pacote de proteção (Web ACL). Essa inclusão faz com que seu aplicativo cliente recupere automaticamente um token em segundo plano no carregamento da página. 

      <head>
    <script type="text/javascript" src="protection pack (web ACL) integration URL/challenge.js” defer></script>
<head>

      Essa lista <script> é configurada com o recurso defer, mas você pode alterar a configuração para async se quiser um comportamento diferente para sua página.

  2. (Opcional) Adicionar configuração de domínio para os tokens do cliente — Por padrão, ao AWS WAF criar um token, ele usa o domínio host do recurso associado ao pacote de proteção (Web ACL). Para fornecer domínios adicionais para o JavaScript APIs, siga as orientações emFornecimento de domínios para uso nos tokens.

  3. Codificar sua integração de ameaças inteligentes: escreva seu código para garantir que a recuperação do token seja concluída antes que o cliente envie suas solicitações para os endpoints protegidos. Se você já estiver usando a API fetch para fazer sua chamada, poderá substituir o wrapper de integração fetch do AWS WAF . Se você não usa a fetch API, pode usar a getToken operação de AWS WAF integração em vez disso. Para ver orientações de codificação, consulte as seções a seguir.

  4. Adicionar verificação de token em seu pacote de proteção (web ACL) — Adicione pelo menos uma regra ao seu pacote de proteção (web ACL) que verifique se há um token de desafio válido nas solicitações da web que seu cliente envia. Você pode usar grupos de regras que verificam e monitoram tokens de desafio, como o nível direcionado do grupo de regras gerenciadas do Controle de Bots, e você pode usar a ação de regra Challenge para verificar, conforme descrito em CAPTCHAe Challenge em AWS WAF.

    As adições do pacote de proteção (Web ACL) verificam se as solicitações para seus endpoints protegidos incluem o token que você adquiriu na integração com o cliente. Solicitações que incluem um token válido e não expirado passam pela inspeção Challenge e não enviam outro desafio silencioso ao seu cliente.

  5. (Opcional) Bloqueie solicitações sem tokens — Se você usar o APIs com o grupo de regras gerenciadas do ACFP, o grupo de regras gerenciadas pelo ATP ou as regras específicas do grupo de regras do Bot Control, essas regras não bloquearão solicitações sem tokens. Para bloquear solicitações sem tokens, siga as orientações em Como bloquear solicitações sem um token do AWS WAF válido.

Tópicos