Instruction d'attaque par scripts inter-site de règle - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Instruction d'attaque par scripts inter-site de règle

Une instruction d'attaque XSS (cross-site scripting) détecte la présence de scripts malveillants dans un composant de requête Web. Lors d'une attaque XSS, l'attaquant utilise les vulnérabilités d'un site Web bénin pour injecter des scripts de site client malveillants dans d'autres navigateurs Web légitimes.

Imbriquable : vous pouvez imbriquer ce type de déclaration.

WCU — 40 WCU, comme coût de base. Si vous utilisez le composant de requête Tous les paramètres de requête, ajoutez 10 WCU. Si vous utilisez le corps JSON du composant de demande, doublez le coût de base des WCU. Pour chaque transformation de texte que vous appliquez, ajoutez 10 WCU.

Ce type d'instruction fonctionne sur un composant de requête Web et nécessite les paramètres de composant de demande suivants :

  • Composant de demande : partie de la requête Web destinée à inspecter, par exemple, une chaîne de requête ou le corps de la requête.

    Avertissement

    Si vous inspectez les composants de la requête Body, JSON body, Headers ou Cookies, renseignez-vous sur les limites relatives à Gestion des composants de requête Web surdimensionnés dans AWS WAF la quantité de contenu AWS WAF pouvant être inspectée.

    Pour plus d'informations sur les composants des requêtes Web, consultezComposants de requête Web.

  • Transformations de texte facultatives : transformations que vous AWS WAF souhaitez effectuer sur le composant de demande avant de l'inspecter. Par exemple, vous pouvez passer en minuscules ou normaliser les espaces blancs. Si vous spécifiez plusieurs transformations, AWS WAF traitez-les dans l'ordre indiqué. Pour plus d’informations, consultez Transformations de texte.

Où trouver cette déclaration de règle
  • Générateur de règles sur console : pour le type de match, choisissez Condition de match d'attaque > Contient des attaques par injection XSS.

  • APIXssMatchStatement