インテリジェントな脅威に対応した JavaScript API の使用 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インテリジェントな脅威に対応した JavaScript API の使用

このセクションでは、クライアントアプリケーションでインテリジェントな脅威 JavaScript API を使用する手順について説明します。

インテリジェントな脅威に対応した APIsは、ユーザーのブラウザに対してサイレントチャレンジを実行するオペレーションと、チャレンジと CAPTCHA レスポンスが成功した証拠を提供する AWS WAF トークンを処理するオペレーションを提供します。

JavaScript 統合を最初にテスト環境で実装し、次に本番環境で実装します。追加のコーディングガイダンスについては、次のセクションを参照してください。

インテリジェントな脅威に対応した API を使用するには

  1. API のインストール

    CAPTCHA API を使用している場合は、このステップをスキップできます。CAPTCHA API をインストールすると、スクリプトはインテリジェントな脅威に対応した API を自動的にインストールします。

    1. にサインイン AWS Management Console し、https://console.aws.amazon.com/wafv2/ で AWS WAF コンソールを開きます。

    2. ナビゲーションペインで、[Application integration] (アプリケーション統合) を選択します。[アプリケーション統合] ページに、タブ付きのオプションが表示されます。

    3. [インテリジェントな脅威に対応した統合] を選択

    4. タブで、統合するウェブ ACL を選択します。ウェブ ACL リストには、AWSManagedRulesACFPRuleSet マネージドルールグループ、AWSManagedRulesATPRuleSet マネージドルールグループ、または AWSManagedRulesBotControlRuleSet マネージドルールグループのターゲットを絞った保護レベルを使用するウェブ ACL のみが含まれます。

    5. [JavaScript SDK] ペインを開き、統合で使用するスクリプトタグをコピーします。

    6. <head> セクションのアプリケーションページコードに、ウェブ ACL 用にコピーしたスクリプトタグを挿入します。この包含により、クライアントアプリケーションは、ページをロードする際にバックグラウンドでトークンを自動的に取得します。

      <head>
    <script type="text/javascript" src="Web ACL integration URL/challenge.js” defer></script>
<head>

      この <script> リストは defer 属性で設定されていますが、ページに別の動作が必要な場合は、設定を async に変更できます。

  2. (オプション) クライアントのトークンにドメイン設定を追加する – デフォルトでは、 がトークン AWS WAF を作成すると、ウェブ ACL に関連付けられているリソースのホストドメインが使用されます。JavaScript API に追加のドメインを指定するには、「トークンで使用するドメインの提供」のガイダンスに従ってください。

  3. インテリジェントな脅威に対応した統合をコーディングする – クライアントで保護されたエンドポイントにリクエストを送信する前に、トークンの取得が完了するようにコードを記述します。既に fetch API を使用して呼び出しを行っている場合は、 AWS WAF 統合 fetch ラッパーに置き換えることができます。fetch API を使用しない場合は、代わりに AWS WAF 統合getTokenオペレーションを使用できます。コーディングガイダンスについては、次のセクションを参照してください。

  4. ウェブ ACL にトークン検証を追加する – クライアントで送信するウェブリクエスト内に有効なチャレンジトークンがないかチェックするルールを、ウェブ ACL に少なくとも 1 つ追加します。Bot Control マネージドルールグループのターゲットレベルのような、チャレンジトークンをチェックおよびモニタリングするルールグループを使用できるため、「CAPTCHAChallengeの および AWS WAF」の説明に従い、Challenge ルールアクションを使用してチェックします。

    ウェブ ACL を追加すると、保護されたエンドポイントへのリクエストに、クライアント統合で取得したトークンが含まれていることを確認できます。有効で期限が切れていないトークンを含むリクエストは、Challenge 検査に合格し、クライアントに別のサイレントチャレンジを送信することはありません。

  5. (オプション) トークンが不足しているリクエストをブロックする – ACFP マネージドルールグループ、ATP マネージドルールグループまたは Bot Control ルールグループのターゲットを絞ったルールで API を使用する場合、これらのルールはトークンが不足しているリクエストをブロックしません。トークンが不足しているリクエストをブロックするには、有効なトークン AWS WAF がないリクエストをブロックする のガイダンスに従ってください。

トピック