Perché AWS WAF blocca la mia richiesta o risponde con un errore 403 Forbidden?

Breve descrizione

Se una richiesta corrisponde a una regola AWS WAF impostata su Block (Blocco), allora AWS WAF invia per impostazione predefinita un errore 403 Forbidden. Se imposti Custom responses for block actions (Risposte personalizzate per le azioni di blocco), AWS WAF invia la risposta che è stata configurata.

Per risolvere un errore 403 Forbidden:

1. Identifica la regola o il gruppo di regole di AWS WAF che sta bloccando la richiesta.
2. Apporta le modifiche necessarie alla regola identificata per autorizzare la richiesta.

Risoluzione

Identifica la regola o il gruppo di regole AWS WAF che ha bloccato la richiesta

Sono disponibili due opzioni per identificare la regola o il gruppo di regole di AWS WAF che sta bloccando la richiesta.

Opzione 1: campione delle richieste

Se il campionamento delle richieste è attivo e la richiesta è stata bloccata nelle ultime tre ore, è possibile visualizzare un campione delle richieste Web per individuare le richieste bloccate.
Nota: se sono trascorse più di tre ore da quando la richiesta è stata bloccata, è possibile inviare nuovamente la stessa richiesta per creare un nuovo campione.

Utilizza la tabella Sampled requests (Richieste a campione) per identificare quale regola o gruppo di regole ha bloccato la richiesta:

1. Identifica la richiesta utilizzando le colonne Source IP (IP di origine) e URI.
2. Identifica la regola o il gruppo di regole che corrisponde alla richiesta utilizzando la colonna Metric name (Nome parametro). Se la richiesta è stata bloccata da un gruppo di regole, utilizza la colonna Rule inside rule group (Regola all’interno del gruppo di regole) per identificare la regola.
3. Utilizzando la colonna Action (Operazione), verifica che la regola identificata sia impostata su Block (Blocco).

Annota la regola o il gruppo di regole che hanno bloccato la richiesta. In seguito, effettua le modifiche alla regola AWS WAF per autorizzare la richiesta.

Opzione 2: registri di AWS WAF

Se la registrazione AWS WAF è attivata, è possibile analizzare i registri per trovare la regola o il gruppo di regole che hanno bloccato la richiesta.

1. Visualizza i tuoi registri AWS WAF.
2. Identifica la richiesta bloccata nei registri.
3. Visualizza il campo terminatingRuleId per identificare la regola o il gruppo di regole AWS WAF che hanno bloccato la richiesta.

Annota la regola o il gruppo di regole che hanno bloccato la richiesta. In seguito, effettua le modifiche alla regola AWS WAF per autorizzare la richiesta.

Nota: se al momento della richiesta non hai attivato la registrazione AWS WAF, attivala. Ripeti quindi la richiesta per identificare la regola che la blocca nei registri AWS WAF. Per maggiori informazioni, consulta Come posso attivare la registrazione AWS WAF e inviare i registri a CloudWatch, Amazon S3 o Kinesis Data Firehose?

Effettua modifiche alla regola AWS WAF per autorizzare la richiesta

Dopo aver identificato la regola o il gruppo di regole che ha bloccato la richiesta, effettua le modifiche necessarie in modo che la richiesta venga autorizzata.

• Se la regola di blocco è una regola gestita AWS, personalizzare il comportamento della regola affinché la richiesta sia autorizzata. Per le istruzioni sulla personalizzazione delle regole gestite da AWS, consulta la sezione How to customize behavior of AWS Managed Rules for AWS WAF.
• Se la regola di blocco è una regola personalizzata, aggiorna i parametri della regola utilizzando un'istruzione della regola, in modo che la richiesta sia autorizzata dalla regola personalizzata.

---