将 JavaScript API 与内容安全策略配合使用 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 JavaScript API 与内容安全策略配合使用

如果您将内容安全策略 (CSP) 应用于您的资源,则需要将 Amazon WAF apex 域列入许可名单。 JavaScript awswaf.comS JavaScript DK 会调用不同的 Amazon WAF 端点,因此将此域列入许可名单可提供 SDK 操作所需的权限。

以下显示了将 Amazon WAF apex 域列入许可名单的配置示例:

connect-src 'self' https://*.awswaf.com; script-src 'self' https://*.awswaf.com; script-src-elem 'self' https://*.awswaf.com;

如果您尝试将 JavaScript SDK 与使用 CSP 的资源一起使用,但尚未将该 Amazon WAF 域列入许可名单,则会收到如下错误:

Refused to load the script ...awswaf.com/<> because it violates the following Content Security Policy directive: “script-src ‘self’