**引入全新的主机体验 Amazon WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在中指定令牌域和域名列表 Amazon WAF
<a name="waf-tokens-domains"></a>

本节介绍如何配置在令牌中 Amazon WAF 使用的域以及它在令牌中接受的域。

在为客户端 Amazon WAF 创建令牌时，它会使用令牌域对其进行配置。在 Amazon WAF 检查 web 请求中的令牌时，如果该令牌的域与任何被认为对保护包（web ACL）有效的域都不匹配，则会将该令牌视为无效因而拒绝。

默认情况下， Amazon WAF 仅接受其域设置与保护包（Web ACL）关联的资源的主机域完全匹配的令牌。这是 web 请求中 `Host` 标头的值。在浏览器中，您可以在 JavaScript `window.location.hostname`属性中找到该域名，也可以在用户在地址栏中看到的地址中找到该域名。

您还可以在保护包（web ACL）配置中指定可接受的令牌域，如下一节所述。在这种情况下， Amazon WAF 接受与主机标头的精确匹配项和与令牌域列表中的域名匹配。

您可以指定令牌域， Amazon WAF 以便在设置域名和评估保护包 (Web ACL) 中的令牌时使用。您指定的域名不能是公共后缀，例如 `gov.au`。对于您无法使用的域名，请参阅[公共后缀列表](https://publicsuffix.org/list/)下的列表 [https://publicsuffix.org/list/public_suffix_list.dat](https://publicsuffix.org/list/public_suffix_list.dat)。

## Amazon WAF 保护包 (Web ACL) 令牌域列表配置
<a name="waf-tokens-domain-lists"></a>

您可以将保护包 (Web ACL) 配置为在多个受保护资源之间共享令牌，方法是提供包含您 Amazon WAF 要接受的其他域的令牌域列表。使用令牌域列表时， Amazon WAF 仍然接受资源的主机域。此外，它接受令牌域列表中的所有域，包括其前缀子域。

例如，令牌域列表 `example.com` 中的域名规范与 `example.com`（来自 `http://example.com/`）、`api.example.com`（来自 `http://api.example.com/`）和 `www.example.com`（来自 `http://www.example.com/`）匹配。它与 `example.api.com`（来自 `http://example.api.com/`）或 `apiexample.com`（来自 `http://apiexample.com/`）不匹配。

创建或编辑令牌域列表时，可以在保护包（web ACL）中对其进行配置。有关管理保护包（web ACL）的一般信息，请参阅 [在中查看 Web 流量指标 Amazon WAF](web-acl-working-with.md)。

## Amazon WAF 令牌域设置
<a name="waf-tokens-domain-in-token"></a>

Amazon WAF 应质询脚本的请求创建令牌，这些脚本由应用程序集成 SDKs 和Challenge和CAPTCHA规则操作运行。

在令牌中 Amazon WAF 设置的域名由请求令牌的质询脚本的类型以及您提供的任何其他令牌域配置决定。 Amazon WAF 将令牌中的域设置为它可以在配置中找到的最短、最通用的设置。
+ **JavaScript SDK** — 您可以使用令牌域规范配置 JavaScript SDK，该规范可以包含一个或多个域。根据受保护的主机域和保护包 (Web ACL) 的令牌域列表，您配置的域必须是可以接受的域。 Amazon WAF 

  当向客户端 Amazon WAF 发出令牌时，它会将令牌域设置为与主机域匹配的令牌域，并且是主机域和您配置列表中的域中最短的令牌域。例如，如果主机域是，`api.example.com`而令牌域列表有`example.com`，则`example.com`在令牌中 Amazon WAF 使用，因为它与主机域匹配并且更短。如果您未在 JavaScript API 配置中提供令牌域列表，请 Amazon WAF 将该域设置为受保护资源的主机域。

  有关更多信息，请参阅 [提供用于令牌的域名](waf-js-challenge-api-set-token-domain.md)。
+ **移动软件开发工具包** – 在应用程序代码中，必须使用令牌域属性配置移动软件开发工具包。根据受保护的主机域和保护包（web ACL）的令牌域列表，此属性必须是 Amazon WAF 可接受的域。

  当为客户端 Amazon WAF 发放令牌时，它会使用此属性作为令牌域。 Amazon WAF 在为移动 SDK 客户端发放的令牌中不使用主机域。

  有关更多信息，请参阅 [Amazon WAF 移动 SDK 规范](waf-mobile-sdk-specification.md) 的 `WAFConfiguration` `domainName` 设置。
+ Challengeacti@@ **on** — 如果您在保护包 (Web ACL) 中指定令牌域列表，则将令牌域 Amazon WAF 设置为与主机域匹配且最短的令牌域，即主机域和列表中的域中最短的令牌域。例如，如果主机域是，`api.example.com`而令牌域列表有`example.com`，则`example.com`在令牌中 Amazon WAF 使用，因为它与主机域匹配并且更短。如果您未在保护包（Web ACL）中提供令牌域列表，请 Amazon WAF 将该域设置为受保护资源的主机域。