AWS WAF 中的令牌标签类型 - AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced

AWS WAF 中的令牌标签类型

本节介绍 AWS WAF 令牌管理向 Web 请求添加的标签。有关标签的一般信息,请参阅 在 AWS WAF 中在 Web 请求上使用标签

当您使用 AWS WAF 机器人或欺诈控制托管规则组时,规则组使用 AWS WAF 令牌管理来检查 Web 请求令牌并对请求应用令牌标签。有关托管规则组的信息,请参阅 AWS WAF 欺诈控制账户创建欺诈预防(ACFP)规则组AWS WAF 欺诈控制账户盗用防护(ATP)规则组AWS WAF 机器人控制功能规则组

注意

只有当您使用这些智能威胁缓解托管规则组时,AWS WAF 才会应用令牌标签。

令牌管理可以将以下标签添加到 Web 请求中。

客户端会话标签

标签 awswaf:managed:token:id:identifier 包含 AWS WAF 令牌管理用于识别客户端会话的唯一标识符。如果客户端获取了新令牌,例如在丢弃其正在使用的令牌之后,标识符可能会更改。

注意

AWS WAF 不报告此标签的 Amazon CloudWatch 指标。

令牌状态标签:标签命名空间前缀

令牌状态标签报告令牌的状态、质询以及其中包含的 CAPTCHA 信息。

每个令牌状态标签都以下列命名空间前缀之一开头:

  • awswaf:managed:token: – 用于报告令牌的一般状态以及令牌的质询信息的状态。

  • awswaf:managed:captcha: – 用于报告令牌的 CAPTCHA 信息的状态。

令牌状态标签:标签名称

在前缀之后,标签的其余部分提供详细的令牌状态信息:

  • accepted – 请求令牌存在且包含以下内容:

    • 有效的质询或 CAPTCHA 解决方案。

    • 未过期的质询或 CAPTCHA 时间戳。

    • 对 Web ACL 有效的域规范。

    示例:标签 awswaf:managed:token:accepted 表明 Web 请求的令牌具有有效的质询解决方案、未过期的质询时间戳以及有效的域。

  • rejected – 请求令牌存在但不符合接受标准。

    除了被拒绝的标签外,令牌管理还添加了一个自定义标签命名空间和名称来指示原因。

    • rejected:not_solved – 令牌缺少质询或 CAPTCHA 解决方案。

    • rejected:expired – 根据您的 Web ACL 配置的令牌免疫时间,令牌的质询或 CAPTCHA 时间戳已过期。

    • rejected:domain_mismatch – 令牌的域与您的 Web ACL 的令牌域配置不匹配。

    • rejected:invalid – AWS WAF 无法读取指示的令牌。

    示例:标签 awswaf:managed:captcha:rejectedawswaf:managed:captcha:rejected:expired 表示请求被拒绝,因为令牌中的 CAPTCHA 时间戳已超过 Web ACL 中配置的 CAPTCHA 令牌免疫时间。

  • absent – 请求没有令牌,或者令牌管理器无法读取它。

    示例:标签 awswaf:managed:captcha:absent 表示请求没有令牌。