投稿日: Jun 21, 2022
AWS WAF で、AWS WAF ルール内で各ヘッダーを個別に指定せずに、HTTP リクエストで複数のヘッダーを評価できるようになりました。また、この機能を使用すると、WAF ルール内で各 Cookie を指定しなくても、HTTP リクエストのすべての Cookie を簡単に検査できます。この機能は、カスタムヘッダーや Cookie を悪用しようとする攻撃からアプリケーションや API エンドポイントを保護したり、WAF のルールを作成していない可能性のある共通のヘッダーを保護したりするのに役立ちます。また、含まれた/除外されたヘッダーのみに検査の範囲を制限して、検査するヘッダーや Cookie のキーまたは値のみを検査できます。
WAF が検査できるよりも多くのヘッダーを含む可能性がある HTTP リクエストには、ルールステートメントを定義する際にオーバーサイズ処理の手順を提供できます。オーバーサイズ処理は WAF に、リクエストヘッダーの数やサイズが制限を超える際のウェブリクエストの処理方法を提示します。オーバーサイズ処理では、検査を続けるか省略するかを選択し、WAF のルールに一致しているか否かをそのリクエストにマークできます。オーバーサイズコンテンツの処理についての詳細は、オーバーサイズリクエストコンポーネントの処理のドキュメントを参照してください。
すべてのヘッダーや Cookie の詳細の照合に追加コストは必要ありませんが、AWS WAF の標準サービス料金は引き続き適用されます。この機能は、すべての AWS WAF リージョン、および Amazon CloudFront、Application Load Balancer、Amazon API Gateway、および AWS AppSync を始めとする、対象の各サービスで利用できます。サポートされているリクエストコンポーネントのオプションの詳細なリストについては、AWS WAF デベロッパーガイドを参照してください。