Menggunakan Ancaman Cerdas JavaScript API - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan Ancaman Cerdas JavaScript API

Bagian ini memberikan instruksi untuk menggunakan ancaman cerdas JavaScript API dalam aplikasi klien Anda.

Ancaman cerdas APIs menyediakan operasi untuk menjalankan tantangan diam terhadap browser pengguna, dan untuk menangani AWS WAF token yang memberikan bukti tantangan dan CAPTCHA tanggapan yang berhasil.

Terapkan JavaScript integrasi terlebih dahulu di lingkungan pengujian, kemudian dalam produksi. Untuk panduan pengkodean tambahan, lihat bagian berikut.

Menggunakan Ancaman Cerdas APIs

  1. Instal APIs

    Jika Anda menggunakan CAPTCHAAPI, Anda dapat melewati langkah ini. Saat Anda menginstal CAPTCHAAPI, skrip secara otomatis menginstal ancaman APIs cerdas.

    1. Masuk ke AWS Management Console dan buka AWS WAF konsol di https://console.aws.amazon.com/wafv2/.

    2. Di panel navigasi, pilih Integrasi aplikasi. Pada halaman Integrasi aplikasi, Anda dapat melihat opsi tab.

    3. Pilih Integrasi ancaman cerdas

    4. Di tab, pilih web ACL yang ingin Anda integrasikan. ACLDaftar web hanya mencakup web ACLs yang menggunakan grup aturan AWSManagedRulesACFPRuleSet terkelola, grup aturan AWSManagedRulesATPRuleSet terkelola, atau tingkat perlindungan yang ditargetkan dari grup aturan AWSManagedRulesBotControlRuleSet terkelola.

    5. Buka JavaScript SDKpanel, dan salin tag skrip untuk digunakan dalam integrasi Anda.

    6. Dalam kode halaman aplikasi Anda, di <head> bagian, masukkan tag skrip yang Anda salin untuk webACL. Inklusi ini menyebabkan aplikasi klien Anda secara otomatis mengambil token di latar belakang pada pemuatan halaman. 

      <head>
    <script type="text/javascript" src="Web ACL integration URL/challenge.js” defer></script>
<head>

      <script>Daftar ini dikonfigurasi dengan defer atribut, tetapi Anda dapat mengubah pengaturan async jika Anda menginginkan perilaku yang berbeda untuk halaman Anda.

  2. (Opsional) Tambahkan konfigurasi domain untuk token klien — Secara default, kapan AWS WAF membuat token, ia menggunakan domain host dari sumber daya yang terkait dengan webACL. Untuk menyediakan domain tambahan untuk JavaScript APIs, ikuti panduan diMenyediakan domain untuk digunakan dalam token.

  3. Kode integrasi ancaman cerdas Anda — Tulis kode Anda untuk memastikan bahwa pengambilan token selesai sebelum klien mengirimkan permintaannya ke titik akhir yang dilindungi. Jika Anda sudah menggunakan fetch API untuk melakukan panggilan, Anda dapat mengganti AWS WAF fetchpembungkus integrasi. Jika Anda tidak menggunakan fetchAPI, Anda dapat menggunakan AWS WAF getTokenoperasi integrasi sebagai gantinya. Untuk panduan pengkodean, lihat bagian berikut.

  4. Tambahkan verifikasi token di web Anda ACL — Tambahkan setidaknya satu aturan ke web Anda ACL yang memeriksa token tantangan yang valid dalam permintaan web yang dikirim klien Anda. Anda dapat menggunakan grup aturan yang memeriksa dan memantau token tantangan, seperti level target grup aturan terkelola Kontrol Bot, dan Anda dapat menggunakan Challenge tindakan aturan untuk memeriksa, seperti yang dijelaskan dalamPenggunaan CAPTCHA and Challenge in AWS WAF.

    ACLPenambahan web memverifikasi bahwa permintaan ke titik akhir yang dilindungi menyertakan token yang telah Anda peroleh dalam integrasi klien Anda. Permintaan yang menyertakan token yang valid dan belum kedaluwarsa melewati Challenge inspeksi dan jangan mengirim tantangan diam lain ke klien Anda.

  5. (Opsional) Blokir permintaan yang tidak memiliki token — Jika Anda menggunakan grup aturan ACFP terkelola, grup aturan ATP terkelola, atau aturan yang ditargetkan dari grup aturan Kontrol Bot, aturan ini tidak memblokir permintaan yang tidak memiliki token. APIs Untuk memblokir permintaan yang tidak memiliki token, ikuti panduan diMemblokir permintaan yang tidak valid AWS WAF token.

Topik