本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
代币域和域名列表
什么时候Amazon WAF为客户端创建令牌,然后使用令牌域对其进行配置。什么时候Amazon WAF检查 Web 请求中的令牌,如果该令牌的域与任何被认为对于 Web ACL 有效的域不匹配,它将拒绝该令牌视为无效。
默认情况下,Amazon WAF仅接受其域设置与与 Web ACL 关联的资源的主机域完全匹配的令牌。这是的价值Host网络请求中的标题。在浏览器中,您可以在JavaScript window.location.hostname属性和您的用户在地址栏中看到的地址中。
您还可以在您的 Web ACL 配置中指定可接受的令牌域,如以下部分所述。在这种情况下,Amazon WAF既接受与主机标头的精确匹配,也接受与令牌域列表中的域的匹配。
您可以为以下内容指定代币域Amazon WAF在设置域和评估 Web ACL 中的令牌时使用。您指定的域不能是公共后缀,例如usa.gov。对于您无法使用的域名,请参阅列表https://publicsuffix.org/list/public_suffix_list.dat
配置 Web ACL 令牌域列表
通过提供包含所需其他域的令牌域列表,可以配置 Web ACL 以在多个受保护的资源之间共享令牌。Amazon WAF接受。有了代币域名列表,Amazon WAF仍然接受资源的主机域。此外,它接受令牌域列表中的所有域,包括其前缀子域。
例如,域规范example.com在您的代币域列表中匹配项example.com(来自http://example.com/),api.example.com,(来自http://api.example.com/),以及www.example.com(来自http://www.example.com/)。不匹配example.api.com,(来自http://example.api.com/),或apiexample.com(来自http://apiexample.com/)。
创建或编辑令牌域列表时,可以在 Web ACL 中配置令牌域列表。有关管理 Web ACL 的一般信息,请参见使用 Web ACL。
控制代币内的域设置
Amazon WAF应挑战脚本的请求创建令牌,挑战脚本由应用程序集成 SDK 和Challenge和CAPTCHA规则操作。
那个域名Amazon WAF令牌中的集合由请求代币的挑战脚本类型以及您提供的任何其他令牌域配置决定。Amazon WAF将令牌中的域设置为其在配置中可以找到的最短、最通用的设置。
-
JavaScriptSDK— 你可以配置JavaScript带有令牌域规范的 SDK,可以包含一个或多个域。您配置的域必须是符合以下条件的域Amazon WAF将根据受保护的主机域和 Web ACL 的令牌域列表接受。
什么时候Amazon WAF为客户端发放令牌,它将令牌域设置为与主机域匹配的令牌域,并且是主机域和配置列表中域中最短的令牌域。例如,如果主机域是
api.example.com而且代币域列表有example.com,Amazon WAF使用example.com在令牌中,因为它与主机域匹配并且更短。如果您没有在中提供代币域名列表JavaScriptAPI 配置,Amazon WAF将域设置为受保护资源的主机域。有关更多信息,请参阅提供用于代币的域名:
-
移动 SDK— 在应用程序代码中,必须使用令牌域属性配置移动 SDK。此属性必须是符合以下条件的域Amazon WAF将根据受保护的主机域和 Web ACL 的令牌域列表接受。
什么时候Amazon WAF为客户端发行令牌,它使用此属性作为令牌域。Amazon WAF在为移动 SDK 客户端发行的令牌中不使用主机域。
有关更多信息,请参阅
WAFConfigurationdomainName设置为这个Amazon WAF移动 SDK 规范。 -
Challenge行动— 如果您在 Web ACL 中指定了令牌域列表,Amazon WAF将令牌域设置为与主机域匹配且是主机域和列表中域中最短的令牌域。例如,如果主机域是
api.example.com而且代币域列表有example.com,Amazon WAF使用example.com在令牌中,因为它与主机域匹配并且更短。如果您没有在 Web ACL 中提供令牌域列表,Amazon WAF将域设置为受保护资源的主机域。