Consulte as fotos acima. Meus usuários às vezes enfrentam problemas, mesmo quando o token existe e é enviado como cabeçalho. Esta é uma solicitação ajax, e certifiquei-me de que ela será getToken() primeiro e, em seguida, prossiga com ajax no retorno da promessa. Por que o bot ainda emitirá um desafio (que basicamente mata um ajax) neste caso, apesar do token não estar ausente? Recentemente, implementei o Bot Control habilitado para AWS Waf + e meus usuários estão tendo dificuldades para usar os sites às vezes (aleatório). Às vezes, eles não conseguem carregar a página até que sejam atualizadas, às vezes o ajax morre, mesmo quando getToken() é usado.
Já incluí o script challenge.js fornecido pela integração de aplicativos do AWS WAF, que também obterá/obterá novamente o token ao carregar a página + durante a navegação.
Obrigado
Descobrido o motivo, a verificação de "TGT_VolumetricIpTokenAbsent" não é baseada na solicitação, mas sim na solicitação total (de 5 ou mais) de um cliente (IP) nos últimos 5 minutos.
Então foram as outras chamadas/api que acionaram o limite, mas as regras foram correspondidas em uma solicitação com um token, o que foi possível, conforme mencionado no documento ( https://docs.aws.amazon.com/waf/latest /developerguide/aws-administrado-rule-groups-bot.html ).