本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
本节介绍令 AWS WAF 牌管理向 Web 请求添加的标签。有关标签的一般信息,请参阅 在 Web 请求中添加标签 AWS WAF。
当您使用任何 AWS WAF 机器人或欺诈控制托管规则组时,规则组使用 AWS WAF 令牌管理来检查 Web 请求令牌并对请求应用令牌标签。有关托管规则组的信息,请参阅 AWS WAF Fraud Control 账户创建防欺诈 (ACFP) 规则组、AWS WAF Fraud Control 账户盗用预防 (ATP) 规则组 和 AWS WAF 机器人控制规则组。
注意
AWS WAF 仅当您使用这些智能威胁缓解托管规则组之一时,才会应用令牌标签。
令牌管理可以将以下标签添加到 Web 请求中。
客户端会话标签
该标签awswaf:managed:token:id:
包含 AWS WAF 令牌管理用于识别客户端会话的唯一标识符。如果客户端获取了新令牌,例如在丢弃其正在使用的令牌之后,标识符可能会更改。identifier
注意
AWS WAF 不报告该标签的 Amazon CloudWatch 指标。
浏览器指纹标签
该标签awswaf:managed:token:fingerprint:
包含一个强大的浏览器指纹标识符, AWS WAF 令牌管理根据各种客户端浏览器信号计算该标识符。在多次尝试获取代币时,此标识符保持不变。指纹标识符不是单个客户端所独有的。fingerprint-identifier
注意
AWS WAF 不报告该标签的 Amazon CloudWatch 指标。
令牌状态标签:标签命名空间前缀
令牌状态标签报告令牌的状态、挑战及其包含CAPTCHA的信息。
每个令牌状态标签都以下列命名空间前缀之一开头:
awswaf:managed:token:
– 用于报告令牌的一般状态以及令牌的质询信息的状态。awswaf:managed:captcha:
— 用于报告令牌CAPTCHA信息的状态。
令牌状态标签:标签名称
在前缀之后,标签的其余部分提供详细的令牌状态信息:
accepted
– 请求令牌存在且包含以下内容:有效的挑战或CAPTCHA解决方案。
未过期的挑战或CAPTCHA时间戳。
适用于网络的域名规范ACL。
示例:标签
awswaf:managed:token:accepted
表明 Web 请求的令牌具有有效的质询解决方案、未过期的质询时间戳以及有效的域。-
rejected
– 请求令牌存在但不符合接受标准。除了被拒绝的标签外,令牌管理还添加了一个自定义标签命名空间和名称来指示原因。
rejected:not_solved
— 代币缺少挑战或CAPTCHA解决方案。rejected:expired
— 根据您的网络配置的令牌免疫时间,令牌ACL的质询或CAPTCHA时间戳已过期。rejected:domain_mismatch
— 令牌的域名与您网站ACL的令牌域配置不匹配。rejected:invalid
— AWS WAF 无法读取指示的标记。
示例:标签
awswaf:managed:captcha:rejected
和awswaf:managed:captcha:rejected:expired
表示请求被拒绝,因为令牌中的CAPTCHA时间戳已超过网络ACL中配置的CAPTCHA令牌免疫时间。 -
absent
– 请求没有令牌,或者令牌管理器无法读取它。示例:标签
awswaf:managed:captcha:absent
表示请求没有令牌。