搭配內容安全性原則使用 JavaScript API - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

搭配內容安全性原則使用 JavaScript API

如果您將內容安全策略 (CSP) 套用至資源,您必須允許列出 AWS WAF Apex 網域,才能讓 JavaScript實作正常運作。awswaf.com JavaScript SDK 會對不同AWS WAF端點進行呼叫,因此允許列出此網域可提供 SDK 操作所需的權限。

以下顯示允許列出 AWS WAF Apex 網域的範例組態:

connect-src 'self' https://*.awswaf.com; script-src 'self' https://*.awswaf.com; script-src-elem 'self' https://*.awswaf.com;

如果您嘗試將 JavaScript SDK 與使用 CSP 的資源搭配使用,但尚未允許列出AWS WAF網域,您會收到類似下列的錯誤訊息:

Refused to load the script ...awswaf.com/<> because it violates the following Content Security Policy directive: “script-src ‘self’