Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gérer les faux positifs XSS
Cette solution configure une règle AWS WAF qui inspecte les éléments fréquemment explorés des demandes entrantes afin d'identifier et de bloquer les attaques XSS. Ce modèle de détection est moins efficace si votre charge de travail permet à des utilisateurs légitimes de composer et de soumettre du code HTML, par exemple à l'aide d'un éditeur de texte enrichi dans un système de gestion de contenu. Dans ce scénario, envisagez de créer une règle d'exception qui contourne la règle XSS par défaut pour les modèles d'URL spécifiques qui acceptent la saisie de texte enrichi, et de mettre en œuvre d'autres mécanismes pour protéger les personnes exclues. URLs
En outre, certains formats d'image ou de données personnalisés peuvent générer des faux positifs car ils contiennent des modèles indiquant une attaque XSS potentielle dans le contenu HTML. Par exemple, un fichier SVG peut contenir une <script> balise. Si vous attendez ce type de contenu de la part d'utilisateurs légitimes, adaptez étroitement vos règles XSS pour autoriser les requêtes HTML qui incluent ces autres formats de données.
Procédez comme suit pour mettre à jour la règle XSS afin d'exclure ceux URLs qui acceptent le HTML en entrée. Reportez-vous au manuel Amazon WAF Developer Guide pour obtenir des instructions détaillées.
-
Connectez-vous à la console AWS WAF
. -
Configurez les paramètres du filtre pour inspecter les valeurs d'URI et de liste que vous souhaitez accepter par rapport à la règle XSS.
-
Modifiez la règle XSS de cette solution et ajoutez la nouvelle condition que vous avez créée.
Par exemple, pour exclure tous les éléments URLs de la liste, choisissez ce qui suit pour Lorsqu'une demande est envoyée :
-
ne
-
correspondre à au moins un des filtres dans la condition de correspondance des chaînes
-
Liste des autorisations XSS
-
