Pernyataan aturan serangan scripting lintas situs - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pernyataan aturan serangan scripting lintas situs

Pernyataan serangan XSS (cross-site scripting) memeriksa skrip berbahaya dalam komponen permintaan web. Dalam serangan XSS, penyerang menggunakan kerentanan dalam situs web jinak sebagai alat untuk menginjeksi skrip situs klien berbahaya ke browser web lain yang sah.

Nestable- Anda dapat sarang jenis pernyataan ini.

WCU- 40 WCU, sebagai biaya dasar. Jika Anda menggunakan komponen permintaanParameter kueri, tambahkan 10 WCU. Jika Anda menggunakan komponen permintaanBadan JSON, dua kali lipat biaya dasar WCU. Untuk eachTransformasi teksyang Anda terapkan, tambahkan 10 WCU.

Jenis pernyataan ini beroperasi pada komponen permintaan web, dan membutuhkan pengaturan komponen permintaan berikut:

  • Komponen permintaan- Bagian dari permintaan web untuk memeriksa, misalnya, string kueri atau badan.

    Awas

    Jika Anda memeriksa komponen permintaanbody,Badan JSON,Header, atauCookie, baca tentang keterbatasan berapa banyak kontenAWS WAFdapat memeriksa diPenanganan oversize untuk komponen permintaan.

    Untuk informasi tentang komponen permintaan web, lihatKomponen permintaan web.

  • Transformasi teks opsional- Transformasi yang Anda inginkanAWS WAFuntuk melakukan pada komponen permintaan sebelum memeriksanya. Misalnya, Anda bisa berubah menjadi huruf kecil atau menormalkan ruang putih. Jika Anda menentukan lebih dari satu transformasi,AWS WAFmemproses mereka dalam urutan yang tercantum. Untuk informasi, lihat Transformasi teks.

Di mana menemukan ini

  • Pembangun bangun bangun tidurpada konsol — UntukJenis match, PilihSyarat kecocokan serangan>Berisi serangan injeksi XSS.

  • Pernyataan APIXssMatchStatement