代币域和域名列表 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
配置 Web ACL 令牌域列表控制令牌内的域名设置
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

代币域和域名列表

为客户端Amazon WAF创建令牌时,它会为其配置令牌域。在Amazon WAF检查 Web 请求中的令牌时,如果该令牌的域与任何被认为对 Web ACL 有效的域不匹配,则会拒绝该令牌为无效。

默认情况下,Amazon WAF仅接受域设置与与 Web ACL 关联的资源的主机域完全匹配的令牌。这是 Web 请求中Host标头的值。在浏览器中,您可以在 JavaScript window.location.hostname属性和用户在地址栏中看到的地址中找到此域。

您可以指定在设置域名Amazon WAF和评估 Web ACL 中的令牌时使用的令牌域。您指定的域不能是公共后缀,例如usa.gov

配置 Web ACL 令牌域列表

您可以通过提供包含您想要接受的其他域的令牌域列表来配置 Web ACLAmazon WAF 以在多个受保护的资源之间共享令牌。使用令牌域列表,Amazon WAF仍接受资源的主机域。此外,它接受令牌域列表中的所有域,包括其前缀子域。

例如,您的令牌域列表example.com中的域规格与example.com(自http://example.com/api.example.com、(自http://api.example.com/)和www.example.com(自http://www.example.com/)相匹配。它不匹配example.api.com、(来自http://example.api.com/)或apiexample.com(来自http://apiexample.com/)。

创建或编辑令牌域列表时,可以在 Web ACL 中配置令牌域列表。有关管理 Web ACL 的一般信息,请参见使用 Web ACL

控制令牌内的域名设置

Amazon WAF应质询脚本的请求创建令牌,这些脚本由应用程序集成 SDK 和Challenge和CAPTCHA规则操作运行。

在令牌中Amazon WAF设置的域由请求该令牌的质询脚本的类型以及您提供的任何其他令牌域配置决定。 Amazon WAF将令牌中的域设置为在配置中可以找到的最短、最通用的设置。

  • JavaScript SDK — 您可以使用令牌域规范配置JavaScript SDK,该规范可以包括一个或多个域。根据受保护的主机域和 Web ACL 的Amazon WAF令牌域列表,您配置的域必须是可以接受的域。

    Amazon WAF将令牌域设置为与主机域匹配的令牌域,并且是主机域和列表中域中最短的令牌域。例如,如果主机域为api.example.com,令牌域列表为example.com,则在令牌example.com中Amazon WAF使用,因为它与主机域匹配且较短。如果您未在 JavaScript SDK 配置中提供令牌域列表,则将域Amazon WAF设置为受保护资源的主机域。

    有关更多信息,请参阅提供用于代币的域名

  • 移动 SDK — 必须使用令牌域配置移动 SDKAmazon WAF 才能在令牌中使用。根据受保护的主机域和 Web ACL 的Amazon WAF令牌域列表,您配置的域必须是可以接受的域。 Amazon WAF不考虑移动 SDK 的令牌域设置中的主机域。

    有关更多信息,请参阅中的WAFConfigurationdomainName设置移Amazon WAF动 SDK 规范

  • Challenge操作 — 如果您在 Web ACL 中指定令牌域列表,则将令牌域Amazon WAF设置为与主机域匹配且最短的令牌域,即主机域和列表中的域中的令牌域。例如,如果主机域为api.example.com,令牌域列表为example.com,则在令牌example.com中Amazon WAF使用,因为它与主机域匹配且较短。如果您未在 Web ACL 中提供令牌域列表,则Amazon WAF将该域设置为受保护资源的主机域。