Pourquoi AWS WAF bloque-t-il ma demande ou répond-il par une erreur 403 Forbidden ?

Brève description

Si une demande correspond à une règle AWS WAF définie sur Block, AWS WAF renvoie par défaut une erreur 403 Forbidden. Si vous configurez des réponses personnalisées pour les actions de blocage, AWS WAF renvoie votre réponse personnalisée.

Pour résoudre une erreur 403 Forbidden :

1. Identifiez la règle ou le groupe de règles AWS WAF qui bloque votre demande.
2. Apportez des modifications à la règle identifiée pour que votre demande soit acceptée.

Solution

Identifier la règle ou le groupe de règles AWS WAF qui a bloqué la demande

Vous disposez de deux options pour identifier la règle ou le groupe de règles AWS WAF qui bloque une demande.

Option 1 : échantillons de demandes

Si l’échantillon de demandes est activé et que votre demande a été bloquée au cours des trois dernières heures, affichez un échantillon de demandes Web pour les demandes bloquées.
Remarque : si votre demande a été bloquée il y a plus de trois heures, vous pouvez renvoyer la même demande afin de générer un nouvel échantillon de demandes.

Utilisez le tableau deséchantillons de demandes pour identifier la règle ou le groupe de règles qui a bloqué la demande :

1. Identifiez la demande à l'aide des colonnes IP source et URI.
2. Identifiez la règle ou le groupe de règles correspondant à la demande, en utilisant la colonneMetric name (nom de la statistique). Si la demande a été bloquée par un groupe de règles, utilisez la colonne Règle à l'intérieur du groupe de règles pour identifier la règle.
3. Dans la colonne Action, vérifiez que la règle identifiée est définie sur Bloquer.

Notez la règle ou le groupe de règles qui a bloqué la demande. Passez ensuite à Apporter des modifications à la règle AWS WAF pour autoriser votre demande.

Option 2 : journaux AWS WAF

Si la journalisation AWS WAF est activée, vous pouvez analyser les journaux pour trouver la règle ou le groupe de règles qui a bloqué la demande.

1. Consultez vos journaux AWS WAF.
2. Identifiez la demande bloquée dans les journaux.
3. Consultez le champ TerminatingRuleID pour identifier la règle ou le groupe de règles AWS WAF qui a bloqué la demande.

Notez la règle ou le groupe de règles qui a bloqué la demande. Passez ensuite à Apporter des modifications à la règle AWS WAF pour autoriser votre demande.

Remarque : si la journalisation AWS WAF n'est pas activée au moment de votre demande, vous devez d'abord l’activer. Ensuite, reproduisez la demande pour identifier la règle qui bloque la demande dans les journaux AWS WAF. Pour plus d’informations, consultez Comment activer la journalisation AWS WAF et envoyer des journaux vers CloudWatch, Amazon S3 ou Kinesis Data Firehose ?

Apportez des modifications à la règle AWS WAF pour autoriser votre demande

Après avoir identifié la règle ou le groupe de règles qui a bloqué la demande, apportez les modifications appropriées à la règle ou au groupe de règles afin que la demande spécifique soit autorisée.

• Si la règle qui bloque votre demande est une règle gérée par AWS, vous devez personnaliser le comportement de cette règle pour autoriser votre demande identifiée. Pour obtenir des instructions sur la personnalisation des règles gérées par AWS, consultez Comment personnaliser le comportement des règles gérées par AWS pour AWS WAF.
• Si la règle de qui bloque la demande est une règle personnalisée, mettez à jour vos paramètres de règle à l'aide d'une instruction de règle afin que la demande soit autorisée par la règle personnalisée.