コンテンツセキュリティポリシーでの JavaScript API の使用

このセクションでは、AWS WAF apex ドメインを一覧表示するための設定例を示します。

コンテンツセキュリティポリシー (CSP) をリソースに適用する場合、JavaScript 実装が機能するためには、AWS WAF apex ドメイン awswaf.com を許可リストに登録する必要があります。JavaScript SDK は異なる AWS WAF エンドポイントを呼び出すため、このドメインを許可リストに登録すると、SDK の動作に必要な権限が付与されます。

AWS WAF apex ドメインを許可リストに登録する場合の設定例を次に示します。


connect-src 'self' https://*.awswaf.com;
script-src 'self' https://*.awswaf.com;
script-src-elem 'self' https://*.awswaf.com;

CSP を使用するリソースで JavaScript SDK を使用しようとして、AWS WAF ドメインを許可リストに登録していなかった場合、次のようなエラーが表示されます。


Refused to load the script ...awswaf.com/<> because it violates the following Content Security Policy directive: “script-src ‘self’

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

トークンで使用するドメインの提供

インテリジェントな脅威に対応した API の使用