帶有 REST API 的靜態網站前端是否需要 WAF？

我有兩個網站

1. www.mysite.com. -->hosted on s3，通過 Cloudfront 靜態單頁應用程序提供服務。
2. 然後我有api.mysite.com，前端使用。

我的公司正在使用WAF solution第三方，目前的單體應用程序受到它的保護。

對於新站點，我已將api.mysite.comWAF 放在後面，但我不確定是否也需要將靜態站點放在 WAF 後面？

這主要是關於防止站點免受 DDOS 攻擊或機器人等，我們之前有很多攻擊，所以我想確保我以正確的方式做事。

雖然 WAF 主要用於保護活動網站、表單、API 等，但有時也需要在公共靜態內容前使用 WAF。

例如：如何使用 AWS WAF、Amazon CloudFront 和Referer Checking 來防止盜鏈

另一個案例可能是如果您的某些靜態內容不是完全公開的（例如，依賴於復雜的隨機文件名 - 並不是說這提供了很好的安全性）並且您想要限制暴力訪問嘗試 - 這也是 WAF 可能提供幫助的地方。

所以你的問題的答案是：是的，有時 WAF 可能用於靜態內容。然而，這些是非常具體的案例，我無法判斷它是否與您的網站相關。

另一方面，即使您在沒有 WAF的情況下開始，後來您發現靜態內容髮生了一些意想不到的事情，可以使用 WAF 解決，您也可以打開它。這不一定是您一開始就需要做出的決定。

希望有幫助:)

引用自：https://serverfault.com/questions/938605