AWS WAFは、URIフラグメントフィールドマッチングをサポートするようになりました
本記事は、2025 年 3 月 18 日にAWS公式サイトの What’s New with AWS? に掲載された英語記事を自動翻訳したものです。
ニュース内容
AWS WAFはURIフラグメントフィールドマッチングをサポートし、顧客がURIフラグメントと既にサポートされているURIパスとともに一致するようにします。この機能を使用すると、顧客はURIパス内のURIフラグメントのコンテンツを検査および一致させるルールを作成できます。
以前は、WAFマッチ条件を使用して、リクエストを検査し、提供された基準との起源を比較することができました。顧客がセキュリティを強化しようと努力すると、URIフラグメントと一致する能力を要求しました。これは、「#」シンボルの後にURLの一部です。 URIフラグメントは、多くの場合、Webページ内の特定のセクションまたはアンカーを識別するために使用され、通常、最初のリクエスト中にサーバーに送信されません。たとえば、「foo://login.aspx#myfragment」などの動的なフラグメントを備えたログインページがある場合、「myfragment」フラグメントでのみリクエストを許可し、他のすべてを否定するルールを作成できます。これにより、機密エリアへのアクセスをブロックする、不正アクセスの試みの検出、悪意のあるアクターが使用するフラグメントパターンを分析することにより、強化されたボット検出の実装など、ターゲットを絞ったセキュリティ制御が可能になります。
追加のコストはありませんが、標準のWAF料金は引き続き適用されます。価格の詳細については、AWS WAF価格設定ページをご覧ください。この機能は、すべてのサポートされている起源にWAFが利用できるすべてのAWS地域で利用できます。 MatchingのURI Fieldの詳細については、開発者ガイドをご覧ください。
原文
AWS WAF now supports URI fragment field matching, enabling customers to match against the URI fragment and along with the already supported URI path. With this feature, customers can create rules that inspect and match against the content of the URI fragment within the URI path.
Customers previously could use WAF match conditions to inspect requests and compare their origin against provided criteria. As customers strive to enhance security, they have requested the ability to match against the URI fragment – the part of the URL often after the “#” symbol. URI fragment is often used to identify specific sections or anchors within a web page and is not typically sent to the server during the initial request. For example, if you have a login page with a dynamic fragment like “foo://login.aspx#myFragment”, you can create a rule that only allows requests with the “myFragment” fragment and denies all others. This enables targeted security controls, such as blocking access to sensitive areas, detecting unauthorized access attempts, and implementing enhanced bot detection by analyzing fragment patterns used by malicious actors.
There is no additional cost, but standard WAF charges still apply. For more information about pricing, visit the AWS WAF Pricing page. The feature is available in all AWS Regions where WAF is available for all supported origins. For more information about URI field for matching, visit the Developer Guide.
この記事をシェア
