**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**
Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Anpassen der Einstellungen für Regelanweisungen in AWS WAF
In diesem Abschnitt werden die Einstellungen beschrieben, die Sie in Regelanweisungen angeben können, die eine Komponente der Webanforderung untersuchen. Informationen zur Verwendung finden Sie in den einzelnen Regelanweisungen unter[Verwenden von Vergleichsregelanweisungen in AWS WAF](waf-rule-statements-match.md).
Eine Teilmenge dieser Webanforderungskomponenten kann auch in ratenbasierten Regeln als benutzerdefinierte Aggregationsschlüssel für Anfragen verwendet werden. Weitere Informationen finden Sie unter [Aggregieren von ratenbasierten Regeln in AWS WAF](waf-rule-statement-type-rate-based-aggregation-options.md).
Für die Einstellungen der Anforderungskomponente geben Sie den Komponententyp selbst und je nach Komponententyp alle zusätzlichen Optionen an. Wenn Sie beispielsweise einen Komponententyp untersuchen, der Text enthält, können Sie Texttransformationen darauf anwenden, bevor Sie ihn untersuchen.
**Anmerkung**
Sofern nicht anders angegeben, wird eine Webanforderung, die nicht über die in der Regelanweisung angegebene Anforderungskomponente verfügt, so AWS WAF bewertet, dass die Anforderung nicht den Regelkriterien entspricht.
**Contents**
+ [Komponenten anfordern in AWS WAF](waf-rule-statement-fields-list.md)
+ [HTTP-Methode](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-http-method)
+ [Einzelner Header](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-header)
+ [Alle Header](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-headers)
+ [Reihenfolge der Kopfzeilen](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-header-order)
+ [Cookies](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-cookies)
+ [URI-Fragment](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-fragment)
+ [URI-Pfad](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-path)
+ [JA3 Fingerabdruck](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja3-fingerprint)
+ [JA4 Fingerabdruck](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja4-fingerprint)
+ [Abfragezeichenfolge](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-query-string)
+ [Einzelabfrageparameter](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-query-param)
+ [Alle Abfrageparameter](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-all-query-params)
+ [Fließtext](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-body)
+ [JSON-Text](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-json-body)
+ [Verwendung weitergeleiteter IP-Adressen in AWS WAF](waf-rule-statement-forwarded-ip-address.md)
+ [Untersuchung von HTTP/2-Pseudo-Headern in AWS WAF](waf-rule-statement-request-components-for-http2-pseudo-headers.md)
+ [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md)
# Komponenten anfordern in AWS WAF
In diesem Abschnitt werden die Komponenten der Webanforderung beschrieben, die Sie prüfen lassen können. Sie legen die Anforderungskomponente für Übereinstimmungsregelanweisungen fest, die nach Mustern innerhalb der Webanforderung suchen. Zu diesen Anweisungstypen gehören String-Match-, Regex-Match-, Größenbeschränkungs- und SQL-Injection-Angriffsanweisungen. Informationen zur Verwendung dieser Einstellungen für Anforderungskomponenten finden Sie in den einzelnen Regelanweisungen unter [Verwenden von Vergleichsregelanweisungen in AWS WAF](waf-rule-statements-match.md)
Sofern nicht anders angegeben, wird eine Webanforderung, die nicht über die in der Regelanweisung angegebene Anforderungskomponente verfügt, AWS WAF dahingehend bewertet, dass sie den Regelkriterien nicht entspricht.
**Anmerkung**
Sie geben für jede Regelanweisung, die eine solche erfordert, eine einzige Anforderungskomponente an. Um mehr als eine Komponente einer Anforderung zu prüfen, erstellen Sie für jede Komponente eine Regelanweisung.
Die AWS WAF Konsole und die API-Dokumentation enthalten Anleitungen zu den Einstellungen der Anforderungskomponente an den folgenden Stellen:
+ **Rule Builder** in der Konsole – Wählen Sie in den Einstellungen für einen regulären Regeltyp unter **Statement** (Anweisung) die zu prüfende Komponente unter **Request components** (Anforderungskomponenten) im Dialog **Inspect** (Untersuchen) aus.
+ **API-Anweisungsinhalt** – `FieldToMatch`
Der Rest dieses Abschnitts beschreibt die Optionen für den Teil der Webanforderung, der überprüft werden soll.
**Topics**
+ [HTTP-Methode](#waf-rule-statement-request-component-http-method)
+ [Einzelner Header](#waf-rule-statement-request-component-single-header)
+ [Alle Header](#waf-rule-statement-request-component-headers)
+ [Reihenfolge der Kopfzeilen](#waf-rule-statement-request-component-header-order)
+ [Cookies](#waf-rule-statement-request-component-cookies)
+ [URI-Fragment](#waf-rule-statement-request-component-uri-fragment)
+ [URI-Pfad](#waf-rule-statement-request-component-uri-path)
+ [JA3 Fingerabdruck](#waf-rule-statement-request-component-ja3-fingerprint)
+ [JA4 Fingerabdruck](#waf-rule-statement-request-component-ja4-fingerprint)
+ [Abfragezeichenfolge](#waf-rule-statement-request-component-query-string)
+ [Einzelabfrageparameter](#waf-rule-statement-request-component-single-query-param)
+ [Alle Abfrageparameter](#waf-rule-statement-request-component-all-query-params)
+ [Fließtext](#waf-rule-statement-request-component-body)
+ [JSON-Text](#waf-rule-statement-request-component-json-body)
## HTTP-Methode
Prüft die HTTP-Methode der Anforderung. Die HTTP-Methode gibt die Art des Vorgangs an, zu dessen Ausführung die Webanforderung Ihre geschützte Ressource auffordert, z. B. `POST` oder`GET`.
## Einzelner Header
Prüft einen einzelnen benannten Header in der Anforderung.
Für diese Option geben Sie den Header-Namen an, zum Beispiel `User-Agent` oder`Referer`. Bei der Zeichenfolgenabgleichung für den Namen wird nicht zwischen Groß- und Kleinschreibung unterschieden. Sie wird durchgeführt, nachdem führende und nachfolgende Leerzeichen sowohl im Anforderungsheader als auch in der Regel entfernt wurden.
## Alle Header
Prüft alle Anforderungsheader, einschließlich Cookies. Sie können einen Filter anwenden, um eine Teilmenge aller Header zu überprüfen.
Für diese Option geben Sie die folgenden Spezifikationen an:
+ **Muster zuordnen** — Der Filter, der verwendet werden soll, um eine Teilmenge von Headern zur Überprüfung abzurufen. AWS WAF sucht in den Header-Tasten nach diesen Mustern.
Die Einstellung für Übereinstimmungsmuster kann eine der folgenden sein:
+ **All** (Alle) – Übereinstimmung mit allen Schlüsseln. Bewerten Sie die Regelprüfungskriterien für alle Header.
+ **Excluded headers** (Ausgeschlossene Header) – Untersuchen Sie nur die Header, deren Schlüssel mit keiner der hier angegebenen Zeichenfolgen übereinstimmen. Bei der Zeichenfolgenübereinstimmung für einen Schlüssel wird nicht zwischen Groß- und Kleinschreibung unterschieden. Der Abgleich erfolgt, nachdem die führenden und nachfolgenden Leerzeichen aus dem Anforderungsheader und der Vergleichsregel gekürzt wurden.
+ **Included headers** (Enthaltene Header) – Untersuchen Sie nur die Header, deren Schlüssel mit einer der hier angegebenen Zeichenfolgen übereinstimmt. Beim Zeichenfolgenabgleich für einen Schlüssel wird nicht zwischen Groß- und Kleinschreibung unterschieden. Der Abgleich erfolgt, nachdem die führenden und nachfolgenden Leerzeichen aus dem Anforderungsheader und der Vergleichsregel gekürzt wurden.
+ **Abgleichsbereich** — Die Teile der Header, die anhand der AWS WAF Regelprüfungskriterien geprüft werden sollen. Sie können **Schlüssel**, **Werte** oder **Alle** angeben, um sowohl Schlüssel als auch Werte auf eine Übereinstimmung zu überprüfen.
**All** erfordert nicht, dass eine Übereinstimmung in den Schlüsseln und eine Übereinstimmung in den Werten gefunden wird. Es erfordert, dass eine Übereinstimmung in den Schlüsseln oder den Werten oder in beiden gefunden wird. Um eine Übereinstimmung in den Schlüsseln und in den Werten zu verlangen, verwenden Sie eine logische `AND` Anweisung, um zwei Vergleichsregeln zu kombinieren: eine, die die Schlüssel überprüft, und eine andere, die die Werte überprüft.
+ **Behandlung zu großer Datenmengen** — Wie AWS WAF soll mit Anfragen umgegangen werden, deren Header-Daten so groß sind, dass sie nicht untersucht werden können? AWS WAF AWS WAF kann höchstens die ersten 8 KB (8.192 Byte) der Anforderungsheader und höchstens die ersten 200 Header untersuchen. Der Inhalt kann AWS WAF bis zum ersten erreichten Limit überprüft werden. Sie können die Untersuchung fortsetzen oder überspringen und die Anforderung als mit der Regel übereinstimmend oder nicht mit der Regel übereinstimmend markieren. Weitere Informationen zur Handhabung zu großen Inhalten finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).
## Reihenfolge der Kopfzeilen
Untersuchen Sie eine Zeichenfolge, die die Liste der Header-Namen der Anfrage enthält, und zwar in der Reihenfolge, in der sie in der Webanforderung erscheinen, die zur AWS WAF Überprüfung eingeht. AWS WAF generiert die Zeichenfolge und verwendet sie dann als Feld, das der Komponente bei der Prüfung entspricht. AWS WAF trennt die Header-Namen in der Zeichenfolge beispielsweise `host:user-agent:accept:authorization:referer` durch Doppelpunkte und ohne zusätzliche Leerzeichen.
Für diese Option geben Sie die folgenden Spezifikationen an:
+ **Behandlung von Übergrößen** — Wie AWS WAF soll mit Anfragen umgegangen werden, deren Header-Daten zahlreicher oder umfangreicher sind, als untersucht AWS WAF werden können? AWS WAF kann höchstens die ersten 8 KB (8.192 Byte) der Anforderungsheader und höchstens die ersten 200 Header untersuchen. Der Inhalt kann AWS WAF bis zum ersten erreichten Limit überprüft werden. Sie können wählen, ob Sie die Überprüfung der verfügbaren Header fortsetzen oder die Überprüfung überspringen und die Anfrage als mit der Regel übereinstimmend oder nicht übereinstimmend markieren möchten. Weitere Informationen zur Handhabung zu großen Inhalten finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).
## Cookies
Prüft alle Anforderungs-Cookies. Sie können einen Filter anwenden, um eine Teilmenge aller Cookies zu überprüfen.
Für diese Option geben Sie die folgenden Spezifikationen an:
+ **Match patterns** (Übereinstimmungsmuster) – Der Filter, der verwendet werden soll, um eine Teilmenge von Cookies für die Prüfung zu erhalten. AWS WAF sucht nach diesen Mustern in den Header-Cookies.
Die Einstellung für Übereinstimmungsmuster kann eine der folgenden sein:
+ **All** (Alle) – Übereinstimmung mit allen Schlüsseln. Bewerten Sie die Regelprüfungskriterien für alle Cookies.
+ **Excluded cookies** (Ausgeschlossene Cookies) – Untersuchen Sie nur die Cookies, deren Schlüssel mit keiner der hier angegebenen Zeichenfolgen übereinstimmen. Beim Zeichenfolgenabgleich für einen Schlüssel wird zwischen Groß- und Kleinschreibung unterschieden. Die Übereinstimmung muss exakt sein.
+ **Included cookies** (Enthaltene Cookies) – Untersuchen Sie nur die Cookies, deren Schlüssel mit einer der hier angegebenen Zeichenfolgen übereinstimmt. Beim Zeichenfolgenabgleich für einen Schlüssel wird zwischen Groß- und Kleinschreibung unterschieden. Die Übereinstimmung muss exakt sein.
+ **Geltungsbereich zuordnen** — Die Teile der Cookies, die anhand der Regelprüfungskriterien überprüft werden AWS WAF sollen. Sie können **Keys** (Schlüssel), **Values** (Werte), oder **All** (Alle) für sowohl Schlüssel als auch Werte angeben.
**All** erfordert nicht, dass eine Übereinstimmung in den Schlüsseln und eine Übereinstimmung in den Werten gefunden wird. Es erfordert, dass eine Übereinstimmung in den Schlüsseln oder den Werten oder in beiden gefunden wird. Um eine Übereinstimmung in den Schlüsseln und in den Werten zu verlangen, verwenden Sie eine logische `AND` Anweisung, um zwei Vergleichsregeln zu kombinieren: eine, die die Schlüssel überprüft, und eine andere, die die Werte überprüft.
+ **Umgang mit überdimensionalen** Daten — Wie AWS WAF soll mit Anfragen umgegangen werden, deren Cookie-Daten größer sind als AWS WAF das, was untersucht werden kann? AWS WAF kann höchstens die ersten 8 KB (8.192 Byte) der Anforderungs-Cookies und höchstens die ersten 200 Cookies untersuchen. Der Inhalt kann AWS WAF bis zur ersten erreichten Grenze eingesehen werden. Sie können die Untersuchung fortsetzen oder überspringen und die Anforderung als mit der Regel übereinstimmend oder nicht mit der Regel übereinstimmend markieren. Weitere Informationen zur Handhabung zu großen Inhalten finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).
## URI-Fragment
**Anmerkung**
Die Überprüfung von URI-Fragmenten ist nur für CloudFront Distributionen und Application Load Balancers verfügbar.
Prüft den Teil einer URL, der auf das Symbol „\$1“ folgt, und liefert zusätzliche Informationen über die Ressource, z. B. \$1section2. Informationen dazu finden Sie unter [Uniform Resource Identifier (URI): Generic Syntax](https://tools.ietf.org/html/rfc3986#section-3).
Wenn Sie keine Texttransformation mit dieser Option verwenden, normalisiert das URI-Fragment AWS WAF nicht und überprüft es genau so, wie es vom Client in der Anfrage empfangen wurde. Informationen zu Texttransformationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
**Anforderungen an die Regelerklärung**
Sie müssen ein Ausweichverhalten für diese Regelanweisung angeben. Das Fallback-Verhalten ist der Übereinstimmungsstatus, den Sie der Webanforderung zuweisen AWS WAF möchten, wenn der URI fehlt, das Fragment oder der zugehörige Dienst nicht Application Load Balancer oder ist. CloudFront Wenn Sie sich für einen Abgleich entscheiden, AWS WAF behandelt die Anfrage so, als ob sie der Regelanweisung entspricht, und wendet die Regelaktion auf die Anfrage an. Wenn Sie keine Übereinstimmung wählen, wird die Anfrage so AWS WAF behandelt, als ob sie nicht mit der Regelanweisung übereinstimmt.
## URI-Pfad
Prüft den Teil einer URL, der eine Ressource angibt, z. B. `/images/daily-ad.jpg`. Informationen dazu finden Sie unter [Uniform Resource Identifier (URI): Generic Syntax](https://tools.ietf.org/html/rfc3986#section-3).
Wenn Sie mit dieser Option keine Texttransformation verwenden, wird der URI AWS WAF nicht normalisiert und er wird genau so geprüft, wie er ihn vom Client in der Anfrage erhält. Informationen zu Texttransformationen finden Sie unter [Verwenden von Texttransformationen in AWS WAF](waf-rule-statement-transformation.md).
## JA3 Fingerabdruck
Prüft den Fingerabdruck der Anfrage. JA3
**Anmerkung**
JA3 Die Überprüfung von Fingerabdrücken ist nur für CloudFront Amazon-Distributionen und Application Load Balancers verfügbar.
Der JA3 Fingerabdruck ist ein 32-stelliger Hash, der aus dem TLS-Client-Hello einer eingehenden Anfrage abgeleitet wird. Dieser Fingerabdruck dient als eindeutige Kennung für die TLS-Konfiguration des Clients. AWS WAF berechnet und protokolliert diesen Fingerabdruck für jede Anfrage, die genügend TLS-Client-Hello-Informationen für die Berechnung enthält. Fast alle Webanfragen enthalten diese Informationen.
**Wie erhalte ich den JA3 Fingerabdruck eines Kunden**
Den JA3 Fingerabdruck für die Anfragen eines Kunden können Sie den Protokollen des Protection Packs (Web-ACL) entnehmen. Wenn in der Lage AWS WAF ist, den Fingerabdruck zu berechnen, nimmt es ihn in die Protokolle auf. Hinweise zu den Protokollierungsfeldern finden Sie unter[Protokollfelder für den Traffic des Protection Packs (Web-ACL)](logging-fields.md).
**Anforderungen an die Regelerklärung**
Sie können den JA3 Fingerabdruck nur innerhalb einer String-Match-Anweisung überprüfen, die so eingestellt ist, dass sie genau mit der von Ihnen angegebenen Zeichenfolge übereinstimmt. Geben Sie die JA3 Fingerabdruckzeichenfolge aus den Protokollen in Ihrer String-Match-Anweisungsspezifikation an, um sie mit future Anfragen abzugleichen, die dieselbe TLS-Konfiguration haben. Hinweise zur Anweisung zum Abgleichen von Zeichenketten finden Sie unter[Zeichenfolgen-Übereinstimmungsanweisung](waf-rule-statement-type-string-match.md).
Sie müssen ein Ausweichverhalten für diese Regelanweisung angeben. Das Fallback-Verhalten ist der Übereinstimmungsstatus, den Sie der Webanforderung zuweisen AWS WAF möchten, wenn der AWS WAF Fingerabdruck nicht berechnet werden kann. JA3 Wenn Sie sich für einen Abgleich entscheiden, AWS WAF behandelt die Anfrage so, als ob sie der Regelanweisung entspricht, und wendet die Regelaktion auf die Anfrage an. Wenn Sie keine Übereinstimmung wählen, wird die Anfrage so AWS WAF behandelt, als ob sie nicht mit der Regelanweisung übereinstimmt.
Um diese Abgleichsoption verwenden zu können, müssen Sie den Traffic Ihres Protection Packs (Web-ACL) protokollieren. Weitere Informationen finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).
## JA4 Fingerabdruck
Prüft den Fingerabdruck der Anfrage. JA4
**Anmerkung**
JA4 Die Überprüfung von Fingerabdrücken ist nur für CloudFront Amazon-Distributionen und Application Load Balancers verfügbar.
Der JA4 Fingerabdruck ist ein 36-stelliger Hash, der aus dem TLS-Client-Hello einer eingehenden Anfrage abgeleitet wird. Dieser Fingerabdruck dient als eindeutige Kennung für die TLS-Konfiguration des Clients. JA4 Fingerprinting ist eine Erweiterung des JA3 Fingerabdrucks, die bei einigen Browsern zu weniger eindeutigen Fingerabdrücken führen kann. AWS WAF berechnet und protokolliert diesen Fingerabdruck für jede Anfrage, die genügend TLS Client Hello-Informationen für die Berechnung enthält. Fast alle Webanfragen enthalten diese Informationen.
**Wie erhalte ich den JA4 Fingerabdruck eines Kunden**
Den JA4 Fingerabdruck für die Anfragen eines Kunden können Sie den Protokollen des Protection Packs (Web-ACL) entnehmen. Wenn in der Lage AWS WAF ist, den Fingerabdruck zu berechnen, nimmt es ihn in die Protokolle auf. Hinweise zu den Protokollierungsfeldern finden Sie unter[Protokollfelder für den Traffic des Protection Packs (Web-ACL)](logging-fields.md).
**Anforderungen an die Regelerklärung**
Sie können den JA4 Fingerabdruck nur innerhalb einer String-Match-Anweisung überprüfen, die so eingestellt ist, dass sie genau mit der von Ihnen angegebenen Zeichenfolge übereinstimmt. Geben Sie die JA4 Fingerabdruckzeichenfolge aus den Protokollen in Ihrer String-Match-Anweisungsspezifikation an, um sie mit future Anfragen abzugleichen, die dieselbe TLS-Konfiguration haben. Hinweise zur Anweisung zum Abgleichen von Zeichenketten finden Sie unter[Zeichenfolgen-Übereinstimmungsanweisung](waf-rule-statement-type-string-match.md).
Sie müssen ein Ausweichverhalten für diese Regelanweisung angeben. Das Fallback-Verhalten ist der Übereinstimmungsstatus, den Sie der Webanforderung zuweisen AWS WAF möchten, wenn der AWS WAF Fingerabdruck nicht berechnet werden kann. JA4 Wenn Sie sich für einen Abgleich entscheiden, AWS WAF behandelt die Anfrage so, als ob sie der Regelanweisung entspricht, und wendet die Regelaktion auf die Anfrage an. Wenn Sie keine Übereinstimmung wählen, wird die Anfrage so AWS WAF behandelt, als ob sie nicht mit der Regelanweisung übereinstimmt.
Um diese Abgleichsoption verwenden zu können, müssen Sie den Traffic Ihres Protection Packs (Web-ACL) protokollieren. Weitere Informationen finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).
## Abfragezeichenfolge
Prüft den Teil der URL nach einem „`?`“, sofern vorhanden.
**Anmerkung**
**Für standortübergreifende Scripting-Abgleichsanweisungen empfehlen wir, dass Sie **Alle Abfrageparameter anstelle von Abfragezeichenfolge** wählen.** Wenn Sie **Alle Abfrageparameter** wählen, werden die WCUs Grundkosten um 10% erhöht.
## Einzelabfrageparameter
Prüft einen einzelnen Abfrageparameter, den Sie als Teil der Abfragezeichenfolge definiert haben. AWS WAF überprüft den Wert des von Ihnen angegebenen Parameters.
Für diese Option geben Sie auch ein **Query argument** (Abfrageargument) an. Wenn die z. B. URL `www.xyz.com?UserName=abc&SalesRegion=seattle` lautet, können Sie für das Abfrageargument `UserName` oder `SalesRegion` angeben. Die maximale Länge des Argumentnamens beträgt 30 Zeichen. Der Name unterscheidet nicht zwischen Groß- und Kleinschreibung. Wenn Sie `UserName` angeben, stimmt AWS WAF also mit allen Varianten von `UserName` überein (einschließlich `username` und `UsERName`).
Wenn die Abfragezeichenfolge mehr als eine Instanz des von Ihnen angegebenen Abfragearguments enthält, werden AWS WAF alle Werte mithilfe OR von Logik auf eine Übereinstimmung überprüft. In der URL `www.xyz.com?SalesRegion=boston&SalesRegion=seattle` bewertet AWS WAF beispielsweise den Namen, den Sie für `boston` und `seattle` angegeben haben. Wenn eine der beiden Varianten übereinstimmt, ist die Überprüfung eine Übereinstimmung.
## Alle Abfrageparameter
Prüft alle Abfrageparameter in der Anforderung. Dies ähnelt der Komponentenauswahl für einen einzelnen Abfrageparameter, AWS WAF überprüft jedoch die Werte aller Argumente innerhalb der Abfragezeichenfolge. Wenn die URL beispielsweise `www.xyz.com?UserName=abc&SalesRegion=seattle` ist, löst AWS WAF eine Übereinstimmung aus, wenn entweder der Wert von `UserName` oder `SalesRegion` den Prüfkriterien entspricht.
Wenn Sie diese Option wählen, werden die Grundkosten WCUs um 10% erhöht.
## Fließtext
Prüft den Anforderungstext, der als Klartext ausgewertet wird. Sie können den Text auch als JSON-Code auswerten, indem Sie den Inhaltstyp JSON verwenden.
Der Anforderungstext ist der Teil, der unmittelbar auf die Header der Anforderung folgt. Er enthält alle zusätzlichen Daten, die für die Webanforderung benötigt werden, z. B. Daten aus einem Formular.
+ In der Konsole wählen Sie dies unter der **Request option** (Anforderungsoption) **Body** (Text) aus, indem Sie den **Content type** (Inhaltstyp) **Plain text** (Klartext) auswählen.
+ In der API geben Sie in der `FieldToMatch`-Spezifikation der Regel `Body` an, um den Anforderungstext als Klartext zu untersuchen.
Für Application Load Balancer und AWS AppSync AWS WAF können die ersten 8 KB des Hauptteils einer Anfrage untersuchen. Denn CloudFront API Gateway, Amazon Cognito, App Runner und Verified Access AWS WAF können standardmäßig die ersten 16 KB überprüfen, und Sie können das Limit in Ihrer Protection Pack-Konfiguration (Web-ACL) auf bis zu 64 KB erhöhen. Weitere Informationen finden Sie unter [Überlegungen zur Durchführung der Körperinspektion in AWS WAF](web-acl-setting-body-inspection-limit.md).
Sie müssen für diesen Komponententyp die Handhabung zu großer Inhalte angeben. Bei der Verarbeitung von Übergrößen wird definiert, wie Anfragen AWS WAF behandelt werden, deren Textdaten größer sind als das, was untersucht AWS WAF werden kann. Sie können die Untersuchung fortsetzen oder überspringen und die Anforderung als mit der Regel übereinstimmend oder nicht mit der Regel übereinstimmend markieren. Weitere Informationen zur Handhabung zu großen Inhalten finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).
Sie können den Text auch als analysierten JSON-Code bewerten. Informationen zu diesem Konto finden Sie im folgenden Abschnitt.
## JSON-Text
Prüft den Anforderungstext, der als JSON-Code ausgewertet wird. Sie können den Text auch als Klartext auswerten.
Der Anforderungstext ist der Teil, der unmittelbar auf die Header der Anforderung folgt. Er enthält alle zusätzlichen Daten, die für die Webanforderung benötigt werden, z. B. Daten aus einem Formular.
+ In der Konsole wählen Sie dies unter der **Request option** (Anforderungsoption) **Body** (Text) aus, indem Sie den **Content type** (Inhaltstyp) **JSON** auswählen.
+ In der API geben Sie in der `FieldToMatch`-Spezifikation der Regel `JsonBody` an.
Für Application Load Balancer und AWS AppSync AWS WAF können die ersten 8 KB des Hauptteils einer Anfrage untersuchen. Denn CloudFront API Gateway, Amazon Cognito, App Runner und Verified Access AWS WAF können standardmäßig die ersten 16 KB überprüfen, und Sie können das Limit in Ihrer Protection Pack-Konfiguration (Web-ACL) auf bis zu 64 KB erhöhen. Weitere Informationen finden Sie unter [Überlegungen zur Durchführung der Körperinspektion in AWS WAF](web-acl-setting-body-inspection-limit.md).
Sie müssen für diesen Komponententyp die Handhabung zu großer Inhalte angeben. Bei der Verarbeitung von Übergrößen wird definiert, wie Anfragen AWS WAF behandelt werden, deren Textdaten größer sind als das, was untersucht AWS WAF werden kann. Sie können die Untersuchung fortsetzen oder überspringen und die Anforderung als mit der Regel übereinstimmend oder nicht mit der Regel übereinstimmend markieren. Weitere Informationen zur Handhabung zu großen Inhalten finden Sie unter [Übergroße Webanforderungskomponenten in AWS WAF](waf-oversize-request-components.md).
Wenn Sie diese Option wählen, verdoppeln sich die Grundkosten der Match-Anweisung. WCUs Wenn beispielsweise die Basiskosten der Match-Anweisung WCUs ohne JSON-Analyse 5 betragen, werden die Kosten bei Verwendung der JSON-Analyse auf 10 verdoppelt. WCUs
Für diese Option geben Sie zusätzliche Spezifikationen an, wie im folgenden Abschnitt beschrieben.
**Wie AWS WAF geht die JSON-Bodyinspektion vor**
Bei der AWS WAF Überprüfung des Hauptteils der Webanfrage als JSON werden Schritte ausgeführt, um den Hauptteil zu analysieren und die JSON-Elemente zur Überprüfung zu extrahieren. AWS WAF führt diese Schritte entsprechend Ihrer Konfigurationsauswahl aus.
Im Folgenden sind die Schritte aufgeführt, die AWS WAF ausgeführt werden.
1. **Analysieren Sie den Hauptteil** — AWS WAF analysiert den Inhalt des Hauptteils der Webanfrage, um die JSON-Elemente zur Überprüfung zu extrahieren. AWS WAF tut sein Bestes, um den gesamten Inhalt des Hauptteils zu analysieren, aber das Parsen kann aufgrund einer Vielzahl von Fehlerzuständen im Inhalt fehlschlagen. Beispiele hierfür sind ungültige Zeichen, doppelte Schlüssel, Kürzungen und Inhalte, deren Stammknoten kein Objekt oder Array ist.
Die Option **Fallback-Verhalten beim Parsen von Körpern** bestimmt, was passiert, wenn der JSON-Hauptteil AWS WAF nicht vollständig analysiert werden kann:
+ **Keine (Standardverhalten)** — AWS WAF wertet den Inhalt nur bis zu dem Punkt aus, an dem ein Analysefehler aufgetreten ist.
+ **Als Zeichenfolge auswerten** — Untersuchen Sie den Textkörper als reinen Text. AWS WAF wendet die Texttransformationen und Prüfkriterien, die Sie für die JSON-Prüfung definiert haben, auf die Texttextzeichenfolge an.
+ **Abgleichen** — Behandelt die Webanforderung so, als ob sie der Regelanweisung entspricht. AWS WAF wendet die Regelaktion auf die Anfrage an.
+ **No Match** (Keine Übereinstimmung) – Behandelt die Webanforderung als nicht mit der Regelanweisung übereinstimmend.
**Anmerkung**
Dieses Fallback-Verhalten wird nur ausgelöst, wenn beim AWS WAF Parsen der JSON-Zeichenfolge ein Fehler auftritt.
**Durch das Parsen wird das JSON nicht vollständig validiert**
AWS WAF Beim Parsen wird die eingegebene JSON-Zeichenfolge nicht vollständig validiert, sodass das Parsen auch bei ungültigem JSON erfolgreich sein kann.
AWS WAF Analysiert beispielsweise den folgenden ungültigen JSON-Code ohne Fehler:
+ Fehlendes Komma: `{"key1":"value1""key2":"value2"}`
+ Fehlender Doppelpunkt: `{"key1":"value1","key2""value2"}`
+ Zusätzliche Doppelpunkte: `{"key1"::"value1","key2""value2"}`
In Fällen wie diesen, in denen das Parsen erfolgreich ist, das Ergebnis aber kein vollständig gültiges JSON ist, kann das Ergebnis der nachfolgenden Bewertungsschritte variieren. Bei der Extraktion fehlen möglicherweise einige Elemente, oder die Regelauswertung kann zu unerwarteten Ergebnissen führen. Wir empfehlen Ihnen, den JSON-Code, den Sie in Ihrer Anwendung erhalten, zu validieren und ungültiges JSON nach Bedarf zu behandeln.
1. **Extrahieren Sie die JSON-Elemente** — AWS WAF identifiziert die Teilmenge der JSON-Elemente, die gemäß Ihren Einstellungen untersucht werden sollen:
+ Die Option **JSON match scope** spezifiziert die Typen von Elementen im JSON, die überprüft AWS WAF werden sollen.
Sie können **Keys** (Schlüssel), **Values** (Werte), oder **All** (Alle) für sowohl Schlüssel als auch Werte angeben.
**All** erfordert nicht, dass eine Übereinstimmung in den Schlüsseln und eine Übereinstimmung in den Werten gefunden wird. Es erfordert, dass eine Übereinstimmung in den Schlüsseln oder den Werten oder in beiden gefunden wird. Um eine Übereinstimmung in den Schlüsseln und in den Werten zu verlangen, verwenden Sie eine logische `AND` Anweisung, um zwei Vergleichsregeln zu kombinieren: eine, die die Schlüssel überprüft, und eine andere, die die Werte überprüft.
+ Die Option Zu **prüfender Inhalt gibt an, wie die Elementgruppe nach der Teilmenge gefiltert werden soll, die Sie untersuchen** möchten AWS WAF .
Sie müssen eine der folgenden Eigenschaften angeben:
+ **Vollständiger JSON-Inhalt** — Evaluiert alle Elemente.
+ **Nur eingeschlossene Elemente** — Wertet nur Elemente aus, deren Pfade den von Ihnen angegebenen JSON-Pointer-Kriterien entsprechen. Verwenden Sie diese Option nicht, um *alle* Pfade im JSON anzugeben. Verwenden Sie stattdessen **vollständigen JSON-Inhalt**.
Informationen zur JSON-Pointer-Syntax finden Sie in der Dokumentation [JavaScript Object Notation (JSON) Pointer der Internet Engineering Task Force (IETF)](https://tools.ietf.org/html/rfc6901).
Sie können beispielsweise in der Konsole Folgendes eingeben:
```
/dogs/0/name
/dogs/1/name
```
In der API oder CLI können Sie Folgendes angeben:
```
"IncludedPaths": ["/dogs/0/name", "/dogs/1/name"]
```
Nehmen wir beispielsweise an, dass die Einstellung **Zu prüfender Inhalt auf** **Nur eingeschlossene Elemente** und die Einstellung Eingeschlossene Elemente auf. `/a/b`
Für das folgende Beispiel für einen JSON-Hauptteil:
```
{
"a":{
"c":"d",
"b":{
"e":{
"f":"g"
}
}
}
}
```
Die Elementgruppen, die nach jeder Einstellung des **JSON-Übereinstimmungsbereichs** suchen AWS WAF würden, sind unten aufgeführt. Beachten Sie, dass der Schlüssel`b`, der Teil des Pfads der eingeschlossenen Elemente ist, nicht ausgewertet wird.
+ **Alle**:`e`, `f,` und`g`.
+ **Schlüssel**: `e` und`f`.
+ **Werte**:`g`.
1. **Untersuchen Sie den JSON-Elementsatz** — AWS WAF wendet alle von Ihnen angegebenen Texttransformationen auf die extrahierten JSON-Elemente an und vergleicht dann den resultierenden Elementsatz mit den Übereinstimmungskriterien der Regelanweisung. Dies ist dasselbe Transformations- und Bewertungsverhalten wie bei anderen Webanforderungskomponenten. Wenn eines der extrahierten JSON-Elemente übereinstimmt, entspricht die Webanforderung der Regel.
# Verwendung weitergeleiteter IP-Adressen in AWS WAF
Dieser Abschnitt gilt für Regelanweisungen, die die IP-Adresse einer Webanforderung verwenden. AWS WAF Verwendet standardmäßig die IP-Adresse aus dem Ursprung der Webanfrage. Wenn eine Webanforderung jedoch einen oder mehrere Proxys oder Load Balancer durchläuft, enthält der Ursprung der Webanforderung die Adresse des letzten Proxys und nicht die Ursprungsadresse des Clients. In diesem Fall wird die ursprüngliche Clientadresse normalerweise in einem anderen HTTP-Header weitergeleitet. Dieser Header ist normalerweise `X-Forwarded-For` (XFF), es kann aber auch ein anderer sein.
**Regelanweisungen, die IP-Adressen verwenden**
Folgende Regelanweisungen verwenden IP-Adressen:
+ [IP-Set-Übereinstimmung](waf-rule-statement-type-ipset-match.md) – Prüft die IP-Adresse auf eine Übereinstimmung mit den Adressen, die in einem IP-Set definiert sind.
+ [Geographische Übereinstimmung](waf-rule-statement-type-geo-match.md)- Verwendet die IP-Adresse, um das Herkunftsland und die Herkunftsregion zu bestimmen, und vergleicht das Herkunftsland mit einer Liste von Ländern.
+ [ASN-Übereinstimmung](waf-rule-statement-type-asn-match.md)- Ermittelt anhand der IP-Adresse die Autonome Systemnummer (ASN) und gleicht die ASN mit einer Liste von ab. ASNs
+ [Verwenden von ratenbasierten Regelaussagen](waf-rule-statement-type-rate-based.md)- Kann Anfragen nach ihren IP-Adressen zusammenfassen, um sicherzustellen, dass keine einzelne IP-Adresse Anfragen mit zu hoher Geschwindigkeit sendet. Sie können die IP-Adressaggregation allein oder in Kombination mit anderen Aggregationsschlüsseln verwenden.
Sie können anweisen AWS WAF , für jede dieser Regelanweisungen eine weitergeleitete IP-Adresse zu verwenden, entweder aus dem `X-Forwarded-For` Header oder aus einem anderen HTTP-Header, anstatt den Ursprung der Webanfrage zu verwenden. Einzelheiten zur Bereitstellung der Spezifikationen finden Sie in den Empfehlungn zu den einzelnen Regelausweisungstypen.
**Anmerkung**
Wenn ein Header fehlt, wird jede Anweisung, die diesen Header verwendet, als „Keine Übereinstimmung“ AWS WAF bewertet. Wenn Sie eine NOT-Anweisung mit dem Ergebnis „Keine Übereinstimmung“ verwenden, wird die Auswertung in „Übereinstimmung“ AWS WAF umgewandelt. Fehlende Header lösen kein Fallback-Verhalten aus, sondern nur ungültige Header-Werte.
**Fallback-Verhalten**
Wenn Sie die weitergeleitete IP-Adresse verwenden, geben Sie den Übereinstimmungsstatus AWS WAF an, der der Webanfrage zugewiesen werden soll, falls die Anfrage an der angegebenen Position keine gültige IP-Adresse hat:
+ **MATCH** — Behandelt die Webanforderung so, als ob sie der Regelanweisung entspricht. AWS WAF wendet die Regelaktion auf die Anfrage an.
+ **KEINE ÜBEREINSTIMMUNG** — Behandelt die Webanforderung so, als ob sie nicht mit der Regelanweisung übereinstimmt.
**In AWS WAF Bot Control verwendete IP-Adressen**
Die von Bot Control verwaltete Regelgruppe verifiziert Bots anhand der IP-Adressen von AWS WAF. Wenn Sie Bot Control verwenden und verifizierte Bots haben, die durch einen Proxy oder Load Balancer geleitet werden, müssen Sie sie explizit mit einer benutzerdefinierten Regel zulassen. Sie können beispielsweise eine benutzerdefinierte IP-Set-Abgleichregel konfigurieren, die Ihre verifizierten Bots anhand weitergeleiteter IP-Adressen erkennt und zulässt. Mit der Regel können Sie Ihre Bot-Verwaltung auf verschiedene Arten anpassen. Weitere Informationen und Beispiele finden Sie unter [AWS WAF Bot-Steuerung](waf-bot-control.md).
**Allgemeine Überlegungen zur Verwendung weitergeleiteter IP-Adressen**
Bedenken Sie Folgendes, bevor Sie eine weitergeleitete IP-Adresse verwenden:
+ Ein Header kann auf dem Weg von Proxys geändert werden, und die Proxys behandeln den Header möglicherweise auf verschiedene Arten.
+ Angreifer können den Inhalt des Headers ändern, um AWS WAF -Inspektionen zu umgehen.
+ Die IP-Adresse im Header kann fehlerhaft oder ungültig sein.
+ Der von Ihnen angegebene Header ist möglicherweise überhaupt nicht in einer Anforderung vorhanden.
**Überlegungen zur Verwendung weitergeleiteter IP-Adressen mit AWS WAF**
In der folgenden Liste werden die Anforderungen und Vorbehalte für die Verwendung weitergeleiteter IP-Adressen in AWS WAF folgenden Bereichen beschrieben:
+ Für jede einzelne Regel können Sie einen Header für die weitergeleitete IP-Adresse angeben. Bei der Header-Spezifikation wird zwischen Groß- und Kleinschreibung unterschieden.
+ Bei ratenbasierten Regelanweisungen übernehmen verschachtelte Eingrenzungsanweisungen die weitergeleitete IP-Konfiguration nicht. Geben Sie die Konfiguration für jede Anweisung an, die eine weitergeleitete IP-Adresse verwendet.
+ Für Geo-Match-, ASN-Abgleich- und ratenbasierte Regeln wird die erste Adresse im Header AWS WAF verwendet. Wenn ein Header beispielsweise Verwendungen enthält `10.1.1.1, 127.0.0.0, 10.10.10.10` AWS WAF `10.1.1.1`
+ Für einen IP-Set-Abgleich geben Sie an, ob ein Abgleich mit der ersten, letzten oder irgendeiner Adresse im Header durchgeführt werden soll. Wenn Sie eine angeben, werden alle AWS WAF Adressen in der Kopfzeile auf eine Übereinstimmung überprüft, bis zu 10 Adressen. Wenn die Kopfzeile mehr als 10 Adressen enthält, werden die letzten AWS WAF 10 überprüft.
+ Bei Headern mit mehreren Adressen müssen die einzelnen Adressen durch Kommata getrennt sein. Wenn eine Anforderung ein anderes Trennzeichen als ein Komma verwendet, betrachtet AWS WAF die IP-Adressen im Header als fehlerhaft.
+ Wenn die IP-Adressen im Header fehlerhaft oder ungültig sind, bezeichnet AWS WAF die Webanforderung entsprechend dem Fallback-Verhalten, das Sie in der Konfiguration für weitergeleitete IP-Adressen angeben, als mit der Regel übereinstimmend oder nicht.
+ Wenn der von Ihnen angegebene Header in einer Anfrage nicht vorhanden ist, AWS WAF wird die Regel überhaupt nicht auf die Anfrage angewendet. Das AWS WAF bedeutet, dass die Regelaktion nicht angewendet wird und das Fallback-Verhalten nicht angewendet wird.
+ Eine Regelanweisung, die einen weitergeleiteten IP-Header für die IP-Adresse verwendet, verwendet nicht die IP-Adresse, die vom Ursprung der Webanforderung gemeldet wird.
**Bewährte Methoden für die Verwendung weitergeleiteter IP-Adressen mit AWS WAF**
Halten Sie sich an die folgenden bewährten Methoden, wenn Sie weitergeleitete IP-Adressen verwenden:
+ Berücksichtigen Sie sorgfältig alle möglichen Status Ihrer Anforderungsheader, bevor Sie die Konfiguration für weitergeleitete IP-Adressen aktivieren. Möglicherweise müssen Sie mehr als eine Regel verwenden, um das gewünschte Verhalten zu erhalten.
+ Verwenden Sie für jede IP-Adressquelle eine Regel, um mehrere weitergeleitete IP-Header zu überprüfen oder den Ursprung der Webanforderung und einen weitergeleiteten IP-Header zu überprüfen.
+ Zum Blockieren der Webanforderungen mit ungültigen Headern stellen Sie die Regelaktion auf Blockieren und das Fallback-Verhalten für die Konfiguration für weitergeleitete IP-Adressen entsprechend ein.
**Beispiel-JSON-Code für weitergeleitete IP-Adressen**
Die folgende Geo-Übereinstimmungsanweisung stimmt nur überein, falls der `X-Forwarded-For`-Header eine IP enthält, deren Herkunftsland die `US` sind:
```
{
"Name": "XFFTestGeo",
"Priority": 0,
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "XFFTestGeo"
},
"Statement": {
"GeoMatchStatement": {
"CountryCodes": [
"US"
],
"ForwardedIPConfig": {
"HeaderName": "x-forwarded-for",
"FallbackBehavior": "MATCH"
}
}
}
}
```
Die folgende ratenbasierte Regel aggregiert Anforderungen basierend auf der ersten IP im `X-Forwarded-For`-Header. Die Regel zählt nur Anfragen, die mit der verschachtelten Geo-Match-Anweisung übereinstimmen, und blockiert nur Anfragen, die der Geo-Match-Anweisung entsprechen. Die verschachtelte Geo-Übereinstimmungsanweisung stellt außerdem anhand des `X-Forwarded-For`-Headers fest, ob die IP-Adresse aus den `US` stammt. Falls dies der Fall ist oder der Header vorhanden, aber fehlerhaft ist, gibt die Geo-Übereinstimmungsanweisung eine Übereinstimmung zurück.
```
{
"Name": "XFFTestRateGeo",
"Priority": 0,
"Action": {
"Block": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "XFFTestRateGeo"
},
"Statement": {
"RateBasedStatement": {
"Limit": "100",
"AggregateKeyType": "FORWARDED_IP",
"ScopeDownStatement": {
"GeoMatchStatement": {
"CountryCodes": [
"US"
],
"ForwardedIPConfig": {
"HeaderName": "x-forwarded-for",
"FallbackBehavior": "MATCH"
}
}
},
"ForwardedIPConfig": {
"HeaderName": "x-forwarded-for",
"FallbackBehavior": "MATCH"
}
}
}
}
```
# Untersuchung von HTTP/2-Pseudo-Headern in AWS WAF
In diesem Abschnitt wird erklärt, wie Sie AWS WAF HTTP/2-Pseudo-Header untersuchen können.
Geschützte AWS Ressourcen, die HTTP/2-Verkehr unterstützen, leiten HTTP/2-Pseudo-Header nicht AWS WAF zur Überprüfung weiter, sondern stellen den Inhalt von Pseudo-Headern in Webanforderungskomponenten bereit, die Inspektionen durchführen. AWS WAF
Sie können diese Option verwenden AWS WAF , um nur die Pseudo-Header zu untersuchen, die in der folgenden Tabelle aufgeführt sind.
**HTTP/2-Pseudo-Header-Inhalte, die Webanforderungskomponenten zugeordnet sind**
| HTTP/2-Pseudo-Header | Zu inspizierende Webanforderungskomponente | Dokumentation |
| --- | --- | --- |
| `:method` | HTTP-Methode | [HTTP-Methode](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-http-method) |
| `:authority` | `Host`-Header | [Einzelner Header](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-header) [Alle Header](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-headers) |
| `:path`URI-Pfad | URI-Pfad | [URI-Pfad](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-path) |
| `:path` query | Abfragezeichenfolge | [Abfragezeichenfolge](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-query-string) [Einzelabfrageparameter](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-query-param) [Alle Abfrageparameter](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-all-query-params) |
# Verwenden von Texttransformationen in AWS WAF
In diesem Abschnitt wird erklärt, wie Sie Transformationen bereitstellen, die AWS WAF vor der Prüfung der Anfrage angewendet werden können.
In Anweisungen, die nach Mustern suchen oder Einschränkungen festlegen, können Sie Transformationen angeben, die angewendet werden sollen, bevor AWS WAF die Anfrage geprüft wird. Eine Transformation formatiert eine Webanforderung neu, um einige der unüblichen Formatierungen zu beseitigen, die Angreifer verwenden, um AWS WAF zu umgehen.
Wenn Sie dies mit der Auswahl der JSON-Text-Anforderungskomponente verwenden, wendet AWS WAF Ihre Transformationen nach dem Analysieren und Extrahieren der zu prüfenden Elemente aus dem JSON-Code an. Weitere Informationen finden Sie unter [JSON-Text](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-json-body).
Wenn Sie mehr als eine Transformation bereitstellen, legen Sie auch die Reihenfolge fest, in der AWS WAF sie anwenden soll.
**WCUs**— Jede Texttransformation ist 10. WCUs
Die AWS WAF Konsole und die API-Dokumentation enthalten außerdem Anleitungen zu diesen Einstellungen an den folgenden Stellen:
+ **Rule Builder** in der Konsole – **Text transformation** (Texttransformation). Diese Option ist verfügbar, wenn Sie Anforderungskomponenten verwenden.
+ **API-Anweisungsinhalt** – `TextTransformations`Optionen für Texttransformationen
Jede Transformationsliste enthält die Konsolen- und API-Spezifikationen, gefolgt von der Beschreibung.
Base64 decode – `BASE64_DECODE`
AWS WAF dekodiert eine Base64-kodierte Zeichenfolge.
Base64 decode extension – `BASE64_DECODE_EXT`
AWS WAF dekodiert eine Base64-kodierte Zeichenfolge, verwendet jedoch eine fehlerverzeihende Implementierung, die ungültige Zeichen ignoriert.
Command line – `CMD_LINE`
Diese Option entschärft Situationen, in denen Angreifer möglicherweise einen Befehlszeilenbefehl des Betriebssystems eingeben und ungewöhnliche Formatierungen verwenden, um den Befehl ganz oder teilweise zu verschleiern.
Verwenden Sie diese Option, um die folgenden Transformationen durchzuführen:
+ Löschen der folgenden Zeichen: `\ " ' ^`
+ Löschen von Leerzeichen vor den folgenden Zeichen: `/ (`
+ Ersetzen der folgenden Zeichen durch ein Leerzeichen: `, ;`
+ Ersetzen mehrerer Leerzeichen durch ein Leerzeichen
+ Großbuchstaben (`A-Z`) in Kleinbuchstaben (`a-z`) umwandeln
Compress whitespace – `COMPRESS_WHITE_SPACE`
AWS WAF komprimiert Leerzeichen, indem mehrere Leerzeichen durch ein Leerzeichen und die folgenden Zeichen durch ein Leerzeichen (ASCII 32) ersetzt werden:
+ Formfeed (ASCII 12)
+ Registerkarte (ASCII 9)
+ Neue Zeile (ASCII 10)
+ Wagenrückfahrt (ASCII 13)
+ Vertikaler Tabulator (ASCII 11)
+ Sicheres Leerzeichen (ASCII 160)
CSS decode – `CSS_DECODE`
AWS WAF dekodiert Zeichen, die mit CSS 2.x-Escape-Regeln codiert wurden. `syndata.html#characters` Diese Funktion verwendet bei der DeCodierung bis zu zwei Bytes, sodass ASCII-Zeichen aufgedeckt werden können, die mit CSS-Codierung kodiert wurden und normalerweise nicht kodiert werden würden. Sie ist auch nützlich, um eine Umgehung zu verhindern, also eine Kombination aus einem Rückwärtsschrägstrich und nicht-hexadezimalen Zeichen. Beispielsweise `ja\vascript` für `javascript`.
Escape sequences decode – `ESCAPE_SEQ_DECODE`
AWS WAF dekodiert die folgenden ANSI C-Escape-Sequenzen:`\a`,,,`\b`,`\f`,,`\n`,`\r`,, `\t` `\v``\\`, `\xHH` (hexadezimal) `\?` `\'``\"`, (oktal). `\0OOO` Ungültige Codierungen verbleiben in der Ausgabe.
Hex decode – `HEX_DECODE`
AWS WAF dekodiert eine Folge von Hexadezimalzeichen in eine Binärdatei.
HTML entity decode – `HTML_ENTITY_DECODE`
AWS WAF ersetzt Zeichen, die im Hexadezimalformat `&#xhhhh;` oder Dezimalformat dargestellt werden, durch die entsprechenden Zeichen. `&#nnnn;`
AWS WAF ersetzt die folgenden HTML-codierten Zeichen durch unkodierte Zeichen. In dieser Liste wird HTML-Kodierung in Kleinbuchstaben verwendet, bei der Behandlung wird jedoch beispielsweise nicht zwischen Groß- und Kleinschreibung unterschieden und sie werden genauso behandelt. `&QuOt;` `"`
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/waf-rule-statement-transformation.html)
JS decode – `JS_DECODE`
AWS WAF dekodiert JavaScript Escape-Sequenzen. Falls sich im ASCII-Codebereich mit voller Zeichenbreite von `\uHHHH` ein `FF01-FF5E`-Code befindet, wird das höhere Byte verwendet, um das untere Byte zu erkennen und anzupassen. Wenn nicht, wird nur das niedrigere Byte verwendet und das höhere Byte wird auf Null gesetzt, was zu einem möglichen Datenverlust führt.
Lowercase – `LOWERCASE`
AWS WAF wandelt Großbuchstaben (A-Z) in Kleinbuchstaben (a-z) um.
MD5 – `MD5`
AWS WAF berechnet einen MD5 Hash aus den Daten in der Eingabe. Der berechnete Hash liegt in einer rohen binären Form vor.
None – `NONE`
AWS WAF überprüft die Webanforderung so, wie sie empfangen wurde, ohne Texttransformationen.
Normalize path – `NORMALIZE_PATH`
AWS WAF normalisiert die Eingabezeichenfolge, indem mehrere Schrägstriche, Verzeichnis-Selbstverweise und Verzeichnisrückverweise, die nicht am Anfang der Eingabe stehen, entfernt werden.
Normalize path Windows – `NORMALIZE_PATH_WIN`
AWS WAF konvertiert Backslash-Zeichen in Schrägstriche und verarbeitet dann die resultierende Zeichenfolge mithilfe der Transformation. `NORMALIZE_PATH`
Remove nulls – `REMOVE_NULLS`
AWS WAF entfernt alle `NULL` Byte aus der Eingabe.
Replace comments – `REPLACE_COMMENTS`
AWS WAF ersetzt jedes Vorkommen eines Kommentars im C-Stil (/\$1... \$1/) durch ein einzelnes Leerzeichen. Mehrere aufeinanderfolgende Vorkommen werden nicht komprimiert. Nicht beendete Kommentare werden durch ein Leerzeichen (ASCII 0x20) ersetzt. Eigenständige Beendigungen von Kommentaren (\$1/) werdem nicht geändert.
Replace nulls – `REPLACE_NULLS`
AWS WAF ersetzt jedes `NULL` Byte in der Eingabe durch das Leerzeichen (ASCII 0x20).
SQL hex decode – `SQL_HEX_DECODE`
AWS WAF dekodiert SQL-Hex-Daten. AWS WAF Dekodiert beispielsweise (`0x414243`) nach (`ABC`).
URL decode – `URL_DECODE`
AWS WAF dekodiert einen URL-codierten Wert.
URL decode Unicode – `URL_DECODE_UNI`
Wie `URL_DECODE`, aber mit Unterstützung für Microsoft-spezifische `%u`-Kodierung. Falls sich der Code im ASCII-Codebereich mit voller Zeichenbreite von `FF01-FF5E` befindet, wird das höhere Byte verwendet, um das untere Byte zu erkennen und anzupassen. Andernfalls wird nur das niedrigere Byte verwendet und das höhere Byte wird auf Null gesetzt.
UTF8 to Unicode – `UTF8_TO_UNICODE`
AWS WAF konvertiert alle UTF-8-Zeichenfolgen nach Unicode. Dies hilft bei der Normalisierung von Eingaben und minimiert Falsch-Positives und Falsch-Negatives für nicht-englische Sprachen.