请参阅上面的图片。我的用户有时遇到问题,即使令牌存在并作为标头发送。这是一个 ajax 请求,我确保它将首先 getToken(),然后在返回承诺时继续使用 ajax。为什么在这种情况下,尽管令牌不存在,机器人仍会发出质询(基本上会杀死 ajax)?最近我实施了 AWS Waf + 启用了 Bot Control,我的用户有时(随机)在使用网站时遇到困难。有时他们无法加载页面,直到他们刷新,有时 ajax 会死机,即使使用 getToken() 也是如此。
我已经包含了由 AWS WAF 的应用程序集成提供的 challenge.js 脚本,该脚本还将在浏览时在页面加载时获取/重新获取令牌。
谢谢
找到了原因,“TGT_VolumetricIpTokenAbsent”的检查不是基于请求,而是基于过去 5 分钟内来自客户端(IP)的总请求数(5 个或更多)。
因此,是其他调用/api 触发了阈值,但规则在请求上与令牌匹配,这是可能的,如文档中提到的(https://docs.aws.amazon.com/waf/latest/developerguide/aws-managed-rule-groups-bot.html)。