Uso de la API de JavaScript de amenazas inteligentes

Uso de las API de amenazas inteligentes

1. Instalación de las API

   Si utiliza la API de CAPTCHA, puede omitir este paso. Al instalar la API de CAPTCHA, el script instala automáticamente las API de amenazas inteligentes.

   1. Inicie sesión en la AWS Management Console y abra la consola de AWS WAF en https://console.aws.amazon.com/wafv2/.

   2. En el panel de navegación, elija Integración de la aplicación. En la página Integración de aplicaciones, puede ver las opciones agrupadas en pestañas.

   3. Seleccione Integración de amenazas inteligentes

   4. En la pestaña, seleccione la ACL web con la que desea realizar la integración. La lista incluye cada ACL web que utiliza el grupo de reglas administrado de AWSManagedRulesACFPRuleSet, el grupo de reglas administrado de AWSManagedRulesATPRuleSet o el nivel de protección objetivo del grupo de reglas administrado de AWSManagedRulesBotControlRuleSet.

   5. Abra el panel SDK de JavaScript y copie la etiqueta del script para usarla en la integración.

   6. En el código de la página de la aplicación, en la sección <head>, inserte la etiqueta de script que copió para la ACL web. Esta inclusión hace que la aplicación cliente recupere automáticamente un token en segundo plano al cargar la página.

      <head>
          <script type="text/javascript" src="Web ACL integration URL/challenge.js” defer></script>
      <head>

      Esta lista de <script> está configurada con el atributo defer, pero puede cambiarlo por otro async si desea un comportamiento diferente para su página.

2. (Opcional) Agregue una configuración de dominio para los tokens del cliente: de forma predeterminada, cuando AWS WAF crea un token, utiliza el dominio del host del recurso que está asociado a la ACL web. Para proporcionar dominios adicionales para las API de JavaScript, siga las instrucciones que aparecen en Suministro de dominios para su uso en los tokens.

3. Codifique su integración de amenazas inteligentes: escriba el código para asegurarse de que la recuperación del token se complete antes de que el cliente envíe sus solicitudes a los puntos de conexión protegidos. Si ya utiliza la API fetch para realizar la llamada, puede sustituirla por el contenedor fetch de integración de AWS WAF. Si no usa la API fetch, puede usar la operación getToken de integración de AWS WAF en su lugar. Para obtener orientación sobre el código, consulte las siguientes secciones:

4. Agregue la verificación mediante token a su ACL web: añada al menos una regla a su ACL web que compruebe si hay un token de desafío válido en las solicitudes web que envíe su cliente. Puede utilizar grupos de reglas que comprueben y supervisen los tokens de desafío, como el nivel objetivo del grupo de reglas administrado de control de bots, y puede utilizar la acción de regla Challenge para comprobarlos, tal y como se describe en Uso de CAPTCHA y Challenge en AWS WAF.

   Las incorporaciones de las ACL web comprueban que las solicitudes a sus puntos de conexión protegidos incluyan el token que adquirió en la integración del cliente. Las solicitudes que incluyan un token válido y vigente pasan la inspección de Challenge y no envían otro desafío silencioso a su cliente.

5. (Opcional) Bloquee las solicitudes a las que les falten tokens: si utiliza las API con el grupo de reglas administrado de ACFP, el grupo de reglas administrado de la ATP o las reglas específicas del grupo de reglas de control de bots, estas reglas no bloquean las solicitudes a las que les falten tokens. Para bloquear las solicitudes a las que les faltan tokens, siga las instrucciones que se indican en Bloqueo de solicitudes que no tienen un token AWS WAF válido.