Especificación de dominios y listas de dominios de tóquenes en AWS WAF - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Lista de dominios de tóquenes de la ACL webConfiguración de dominios de token

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Especificación de dominios y listas de dominios de tóquenes en AWS WAF

En esta sección, se explica cómo configurar los dominios que AWS WAF utiliza y acepta en los tókenes.

Cuando AWS WAF crea un token para un cliente, lo configura con un dominio de token. Cuando AWS WAF inspecciona un token en una solicitud web, lo rechaza por no válido si su dominio no coincide con ninguno de los dominios que se consideran válidos para la ACL web.

De forma predeterminada, AWS WAF solo acepta los tokens cuya configuración de dominio coincida exactamente con la del dominio host del recurso asociado a la ACL web. Se trata del valor del encabezado Host de la solicitud web. En un navegador, puede encontrar este dominio en la propiedad window.location.hostname de JavaScript y en la dirección que el usuario ve en la barra de direcciones.

También puede especificar dominios de tokens aceptables en su configuración de ACL web, tal y como se describe en la siguiente sección. En este caso, AWS WAF acepta tanto las coincidencias exactas con el encabezado del host como las coincidencias con los dominios de la lista de dominios de tokens.

Puede especificar los dominios de tokens para AWS WAF para usarlos al configurar el dominio y al evaluar un token en una ACL web. Los dominios que especifique no pueden ser sufijos públicos, como gov.au. Para ver los dominios que no puede usar, consulte la lista en lista https://publicsuffix.org/list/public_suffix_list.dat en la lista de sufijos públicos.

Configuración de la lista de dominios de tóquenes de la ACL web de AWS WAF

Puede configurar una ACL web para compartir los tokens entre varios recursos protegidos proporcionando una lista de dominios de tokens con los dominios adicionales que desee aceptar AWS WAF. Con una lista de dominios de tokens, AWS WAF sigue aceptando el dominio del host del recurso. Además, acepta todos los dominios de la lista de dominios de tokens, incluidos sus subdominios prefijados.

Por ejemplo, una especificación de dominio example.com de su lista de dominios de tokens coincide con example.com (de http://example.com/), api.example.com, (de http://api.example.com/) y www.example.com (de http://www.example.com/). No coincide con example.api.com (de http://example.api.com/) ni con apiexample.com (de http://apiexample.com/).

Puede configurar la lista de dominios de tokens de su ACL web al crearla o editarla. Para obtener información general sobre la administración de una ACL web, consulte Cómo ver las métricas de tráfico web en AWS WAF.

Configuración de dominios de token AWS WAF

AWS WAF crea tokens a petición de los scripts de desafío, que se ejecutan mediante los SDK de integración de aplicaciones y las acciones de regla Challenge y CAPTCHA.

El dominio que AWS WAF establece en un token viene determinado por el tipo de script de desafío que lo solicita y por cualquier configuración de dominio de token adicional que proporcione. AWS WAF establece el dominio del token en la configuración más corta y general que pueda encontrar en la configuración.

  • SDK de JavaScript: puede configurar el SDK de JavaScript con una especificación de dominio de token, que puede incluir uno o más dominios. Los dominios que configure deben ser dominios que AWS WAF acepte, en función del dominio del host protegido y de la lista de dominios de tokens de la ACL web.

    Cuando AWS WAF emite un token para el cliente, establece el dominio del token en uno que coincida con el dominio del host y sea el más corto de entre el dominio del host y los dominios de la lista configurada. Por ejemplo, si el dominio del host es api.example.com y la lista de dominios de tokens tiene example.com, AWS WAF usa example.com en el token porque coincide con el dominio del host y es más corto. Si no proporciona una lista de dominios de tokens en la configuración de la API de JavaScript, AWS WAF establece el dominio como el dominio del host del recurso protegido.

    Para obtener más información, consulte Suministro de dominios para su uso en los tokens.

  • SDK para móviles: en el código de su aplicación, debe configurar el SDK para móviles con una propiedad de dominio de token. Esta propiedad debe ser un dominio que AWS WAF acepte, basándose en el dominio del host protegido y en la lista de dominios de token en ACL web.

    Cuando AWS WAF emite un token para el cliente, este utiliza esta propiedad como dominio de token. AWS WAF no usa el dominio del host en los tokens que emite para el cliente del SDK para móviles.

    Para obtener más información, consulte la WAFConfiguration domainName configuración en AWS WAF SDKespecificación móvil.

  • Acción de Challenge: si especifica una lista de dominios de tokens en la ACL web, AWS WAF establece el dominio de token en uno que coincida con el dominio del host y que sea el más corto de entre el dominio del host y los dominios de la lista. Por ejemplo, si el dominio del host es api.example.com y la lista de dominios de tokens tiene example.com, AWS WAF usa example.com en el token porque coincide con el dominio del host y es más corto. Si no proporciona una lista de dominios de tokens en la ACL web, AWS WAF establece el dominio como el dominio host del recurso protegido.