令牌標籤的類型 AWS WAF

本節描述的標籤 AWS WAF 令牌管理將添加到 Web 請求中。如需有關標示的一般資訊，請參閱在網頁要求上使用標籤 AWS WAF。

當您使用任何 AWS WAF 機器人或詐騙控制受管規則群組，規則群組使用 AWS WAF 令牌管理以檢查 Web 請求令牌並將令牌標籤應用於請求。如需有關受管規則群組的資訊AWS WAF 欺詐控制帳戶創建欺詐預防（ACFP）規則組，請參閱AWS WAF 欺詐控制帳戶接管預防（ATP）規則組、和AWS WAF 機器人控制規則群組。

注意

AWS WAF 只有在您使用其中一個智慧型威脅緩和管理規則群組時，才會套用 Token 標籤。

令牌管理可以將以下標籤添加到 Web 請求中。

客戶端會話標籤

標籤awswaf:managed:token:id:identifier包含一個唯一的標識符 AWS WAF 權杖管理用來識別用戶端工作階段。如果客戶端獲取新令牌，則標識符可能會更改，例如在丟棄正在使用的令牌之後。

注意

AWS WAF 不報告此標籤的 Amazon CloudWatch 指標。

令牌狀態標籤：標籤命名空間前綴

權杖狀態標籤會報告權杖的狀態，以及其中包含的挑戰和CAPTCHA資訊。

每個令牌狀態標籤都以下列命名空間前綴之一開始：

• awswaf:managed:token:— 用於報告令牌的一般狀態並報告令牌的挑戰信息的狀態。

• awswaf:managed:captcha:— 用於報告令牌CAPTCHA信息的狀態。

權杖狀態標籤：標籤名稱

在前綴之後，標籤的其餘部分提供了詳細的令牌狀態信息：

• accepted-請求令牌存在並包含以下內容：

  • 一個有效的挑戰或CAPTCHA解決方案。

  • 未過期的挑戰或CAPTCHA時間戳記。

  • 適用於網路的網域規格ACL。

  示例：該標籤awswaf:managed:token:accepted表示 Web 請求的令牌具有有效的挑戰解決方案，未過期的挑戰時間戳和有效的域。

• rejected— 請求令牌存在，但不符合驗收標準。

  隨著拒絕的標籤，令牌管理添加了一個自定義標籤命名空間和名稱來指示原因。

  • rejected:not_solved— 令牌缺少挑戰或CAPTCHA解決方案。

  • rejected:expired— 根據您的網絡配置的令牌免疫時間，令牌ACL的挑戰或時CAPTCHA間戳已過期。

  • rejected:domain_mismatch— 令牌的域與您的網絡ACL的令牌域配置不匹配。

  • rejected:invalid – AWS WAF 無法讀取指示的令牌。

  示例：標籤awswaf:managed:captcha:rejected並awswaf:managed:captcha:rejected:expired指示請求被拒絕，因為令牌中的時間CAPTCHA戳已超過 Web 中配置的CAPTCHA令牌免疫時間ACL。

• absent-請求沒有令牌或令牌管理器無法讀取它。

  示例：標籤awswaf:managed:captcha:absent表示請求沒有令牌。