AWS
「AWS WAF のクォータ」のページに「検査できるウェブリクエストボディの最大サイズ」として「8 KB」との記載あり。
また、「ウェブリクエストコンポーネント設定」のページでは「リクエストボディの最初の 8 KB(8,192 バイト)のみが、検査のために AWS WAF に転送されます」、「AWSWAF は、ボディが 8 KB を超えるウェブリクエストのコンテンツ全体の検査をサポートしていません」と説明されている。
「本文検査のサイズ制限の管理」のページに以下の記載あり。
- Application Load Balancer と の場合 AWS AppSync、制限は 8 KB (8,192 バイト) に固定されます。
- CloudFront、API Gateway、Amazon Cognito 、App Runner、Verified Access の場合、デフォルトの制限は 16 KB (16,384 バイト) で、どのリソースタイプの制限も 16 KB 単位で最大 64 KB まで増やすことができます。設定オプションは 16 KB、32 KB、48 KB、および 64 KB です。
サイズ制限を超えた場合にどのような処理を行うかについては「AWS WAFでのオーバーサイズリクエストコンポーネントの処理」をご参照ください。
Azure
「Web アプリケーション ファイアウォールの要求サイズの制限と除外リスト」のページに「最大要求本文サイズ フィールドはキロバイトで指定されます。このフィールドでは、ファイルのアップロードを除く、全体的な要求サイズの制限が制御されます。 このフィールドには、1 KB (最小値) から 128 KB (最大値) までの値が指定されます」、「要求本文の検査をオフにすると、128 KB を超えるメッセージを WAF に送信できるようになりますが、メッセージ本文の脆弱性が検査されません」との記載あり。
「Azure Application Gateway の WAF エンジン」のページに「要求本文のサイズ制限が 2 MB に増加」との記載あり。
GCP
Google Cloud Armorの「セキュリティ ポリシーの概要」のページに「Google Cloud Armor は、リクエスト本文を含む HTTP リクエスト タイプのうち POST リクエストのみを処理します。検査は POST 本文の最初の 8 KB に制限され、URL クエリ パラメータのようにデコードされます」との記載あり。