将 JavaScript API 与内容安全策略配合使用 - Amazon WAF、 Amazon Firewall ManagerAmazon Shield Advanced、和 Amazon Shield 网络安全总监
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

引入全新的主机体验 Amazon WAF

现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 JavaScript API 与内容安全策略配合使用

本节提供了将 Amazon WAF apex 域列入许可名单的配置示例。

如果您将内容安全策略 (CSP) 应用于您的资源,则需要将 Amazon WAF apex 域列入许可名单,才能使您的 JavaScript实施发挥作用。awswaf.com它们 JavaScript SDKs 会调用不同的 Amazon WAF 端点,因此将此域列入许可名单可提供操作 SDKs 所需的权限。

以下显示了将 Amazon WAF apex 域列入许可名单的配置示例:

connect-src 'self' https://*.awswaf.com;
script-src 'self' https://*.awswaf.com;
script-src-elem 'self' https://*.awswaf.com;

如果您尝试与使用 CSP 的资源 JavaScript SDKs 一起使用,但您尚未将该 Amazon WAF 域列入许可名单,则会收到如下错误:

Refused to load the script ...awswaf.com/<> because it violates the following Content Security Policy directive: “script-src ‘self’