0

有一个AWS文档解释了如何为自己做,即如何只允许自己的页面进行热链接并拒绝所有其他页面:https ://aws.amazon.com/blogs/security/how-to-prevent-hotlinking-通过使用-aws-waf-amazon-cloudfront-and-referer-checking/

我想知道 WAF 是否是我用例的正确选择,这与上面的有点不同。

  • 在我工作的公司,我们打算通过 JS 小部件销售数据。
  • 我们希望限制对这些数据的访问,以便只有授权的 REFERER 能够向他们的用户显示我们的数据,同时拒绝所有其他 REFERER。
  • 欺骗 REFERER 的可能性对我们来说不是一个重要的威胁。
  • 我们希望将我们的客户群扩大到数百人。

我问这个问题的原因是由于注意到对 WAF 有一些严格的限制:https ://docs.aws.amazon.com/waf/latest/developerguide/limits.html ,据我了解,对于在我们的用例中,WAF 不能很好地扩展。

4

1 回答 1

0

WAF 不是该工作的正确工具。

首先,即使有最多 10 个规则,每个规则最多 10 个条件,每个规则最多 10 个过滤器,每个 AWS 账户也有最多 100 个字符串条件。

其次,条件和过滤器不适合我们的用例。规则的条件由 AND 组成,条件的过滤器由 OR 组成。例如,规则 liker(x) := (x=a + x=b + x=c) * (x=d + x=e)会给出r(d) = false而无需进行 test x=d

于 2019-04-12T08:55:12.760 回答