Utiliser la menace intelligente JavaScript API

Pour utiliser la menace intelligente APIs

1. Installez le APIs

   Si vous utilisez le CAPTCHAAPI, vous pouvez ignorer cette étape. Lorsque vous installez le CAPTCHAAPI, le script installe automatiquement la menace APIs intelligente.

   1. Connectez-vous au AWS Management Console et ouvrez le AWS WAF console à https://console.aws.amazon.com/wafv2/.

   2. Dans le panneau de navigation, choisissez Intégration d'applications. Sur la page d'intégration des applications, vous pouvez voir les options sous forme d'onglets.

   3. Sélectionnez Intégration intelligente des menaces

   4. Dans l'onglet, sélectionnez le site Web ACL que vous souhaitez intégrer. La ACL liste Web inclut uniquement les sites Web ACLs qui utilisent le groupe de règles AWSManagedRulesACFPRuleSet AWSManagedRulesATPRuleSet géré, le groupe de règles géré ou le niveau de protection ciblé du groupe de règles AWSManagedRulesBotControlRuleSet géré.

   5. Ouvrez le JavaScript SDKvolet et copiez la balise de script à utiliser dans votre intégration.

   6. Dans le code de page de votre application, dans la <head> section, insérez la balise de script que vous avez copiée pour le WebACL. Cette inclusion permet à votre application cliente de récupérer automatiquement un jeton en arrière-plan lors du chargement de la page.

      <head>
          <script type="text/javascript" src="Web ACL integration URL/challenge.js” defer></script>
      <head>

      Cette <script> liste est configurée avec l'deferattribut, mais vous pouvez modifier le paramètre async si vous souhaitez un comportement différent pour votre page.

2. (Facultatif) Ajouter une configuration de domaine pour les jetons du client — Par défaut, lorsque AWS WAF crée un jeton, il utilise le domaine hôte de la ressource associée au WebACL. Pour fournir des domaines supplémentaires pour le JavaScript APIs, suivez les instructions surFournir des domaines à utiliser dans les jetons.

3. Codez votre intégration intelligente des menaces : écrivez votre code pour vous assurer que la récupération des jetons est terminée avant que le client n'envoie ses demandes à vos points de terminaison protégés. Si vous utilisez déjà le fetch API pour passer votre appel, vous pouvez le remplacer AWS WAF fetchenveloppe d'intégration. Si vous n'utilisez pas le fetchAPI, vous pouvez utiliser le AWS WAF getTokenopération d'intégration à la place. Pour obtenir des conseils de codage, consultez les sections suivantes.

4. Ajoutez la vérification par jeton sur votre site Web ACL : ajoutez au moins une règle à votre site Web ACL qui vérifie la validité d'un jeton de défi dans les demandes Web envoyées par votre client. Vous pouvez utiliser des groupes de règles qui vérifient et surveillent les jetons de défi, tels que le niveau ciblé du groupe de règles géré par Bot Control, et vous pouvez utiliser le Challenge action de règle à vérifier, comme décrit dansCAPTCHA and Challenge dans AWS WAF.

   Les ACL ajouts Web vérifient que les demandes adressées à vos points de terminaison protégés incluent le jeton que vous avez acquis lors de l'intégration de votre client. Les demandes qui incluent un jeton valide et non expiré sont transmises Challenge inspection et n'envoyez pas un autre défi silencieux à votre client.

5. (Facultatif) Bloquer les demandes pour lesquelles il manque des jetons : si vous utilisez le APIs ACFP groupe de règles ATP géré, le groupe de règles géré ou les règles ciblées du groupe de règles Bot Control, ces règles ne bloquent pas les demandes contenant des jetons manquants. Pour bloquer les demandes auxquelles il manque des jetons, suivez les instructions surBlocage des demandes dont le AWS WAF jeton n'est pas valide.