本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在中指定權杖網域和網域清單 AWS WAF
本節說明如何設定網域 AWS WAF 在令牌中使用並在令牌中接受。
當 AWS WAF 為客戶端創建一個令牌,它使用令牌域配置它。當 AWS WAF 檢查 Web 請求中的令牌,如果其域不匹配任何被認為對 Web 有效的域,它將拒絕令牌為無效。ACL
默認情況下, AWS WAF 僅接受其域設置與 Web 關聯的資源的主機域完全匹配的令牌ACL。這是 Web 請求中Host
標頭的值。在瀏覽器中,您可以在 JavaScript window.location.hostname
屬性和用戶在其地址欄中看到的地址中找到此域。
您還可以在 Web ACL 配置中指定可接受的令牌域,如以下部分所述。在這種情況下, AWS WAF 接受與主機標頭完全匹配,並與令牌域列表中的域匹配。
您可以指定的權杖網域 AWS WAF 在設置域時以及在 Web 中評估令牌時使用ACL。您指定的域不能是公共後綴,例如。gov.au
如需您無法使用的網域,請參閱 https://publicsuffix.org/list/public_suffix_list.dat
AWS WAF Web ACL 令牌域列表配置
您可以通過提供包含所需其他域的令牌域列表ACL來配置 Web 以在多個受保護的資源之間共享令牌 AWS WAF 接受。使用令牌域列表, AWS WAF 仍然接受資源的主機域。此外,它接受權杖網域清單中的所有網域,包括其前置字元的子網域。
例如,權杖網域清單example.com
中的網域規格符合 example.com
(自http://example.com/
) api.example.com
、(自http://api.example.com/
) 和 www.example.com
(從http://www.example.com/
)。它不匹配example.api.com
,(從http://example.api.com/
)或apiexample.com
(從http://apiexample.com/
)。
您可以在建立或編輯ACL時在 Web 中設定權杖網域清單。如需有關管理 Web 的一般資訊ACL,請參閱檢視網路流量量度 AWS WAF。
AWS WAF 權杖網域設定
AWS WAF 根據挑戰腳本的請求創建令牌,這些腳本由應用程序集成SDKs和 Challenge 以及 CAPTCHA 規則動作。
該域名 AWS WAF Token 中的集合取決於要求它的挑戰指令碼類型,以及您提供的任何其他 Token 網域組態。 AWS WAF 將權杖中的網域設定為可在組態中找到的最短、最一般的設定。
-
JavaScript SDK-您可以JavaScript SDK使用令牌域規範配置,其中可以包括一個或多個域。您設定的網域必須是下列網域 AWS WAF 將根據受保護的主機域和 Web ACL 的令牌域列表接受。
當 AWS WAF 為客戶端發出令牌,它將令牌域設置為與主機域匹配的令牌域,並且從主機域和配置列表中的域中最短。例如,如果主機域是
api.example.com
並且令牌域列表具有example.com
, AWS WAF 在令牌example.com
中使用,因為它與主機域匹配並且較短。如果您沒有在 JavaScript API配置中提供令牌域列表, AWS WAF 將網域設定為受保護資源的主機網域。如需詳細資訊,請參閱提供在權杖中使用的網域。
-
行動裝置 SDK — 在您的應用程式程式碼中,您必須SDK使用 Token 網域屬性來設定行動裝置。此屬性必須是具有下列條件的網域 AWS WAF 將根據受保護的主機域和 Web ACL 的令牌域列表接受。
當 AWS WAF 為客戶端發出令牌,它使用此屬性作為令牌域。 AWS WAF 不會在為行動用SDK戶端發出的權杖中使用主機網域。
如需詳細資訊,請參閱中的
WAFConfiguration
domainName
設定AWS WAF 移動SDK規格。 -
Challenge 操作 -如果您在 Web 中指定令牌域列表ACL, AWS WAF 將權杖網域設定為與主機網域相符且是最短的,來自主機網域和清單中的網域。例如,如果主機域是
api.example.com
並且令牌域列表具有example.com
, AWS WAF 在令牌example.com
中使用,因為它與主機域匹配並且較短。如果您沒有在網絡中提供令牌域列表ACL, AWS WAF 將網域設定為受保護資源的主機網域。