Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Gestisci i falsi positivi XSS
Questa soluzione configura una regola AWS WAF che ispeziona gli elementi più comunemente esplorati delle richieste in entrata per identificare e bloccare gli attacchi XSS. Questo modello di rilevamento è meno efficace se il carico di lavoro consente agli utenti legittimi di comporre e inviare codice HTML, ad esempio utilizzando un rich text editor in un sistema di gestione dei contenuti. In questo scenario, prendete in considerazione la creazione di una regola di eccezione che aggiri la regola XSS predefinita per specifici modelli di URL che accettano l'immissione di testo RTF e implementate meccanismi alternativi per proteggere gli esclusi. URLs
Inoltre, alcuni formati di immagini o dati personalizzati possono causare falsi positivi perché contengono schemi che indicano un potenziale attacco XSS nei contenuti HTML. Ad esempio, un file SVG potrebbe contenere un tag. <script> Se ti aspetti questo tipo di contenuto da utenti legittimi, personalizza le regole XSS in modo restrittivo per consentire le richieste HTML che includono questi altri formati di dati.
Completa i seguenti passaggi per aggiornare la regola XSS in modo da escludere URLs che accetti HTML come input. Per istruzioni dettagliate, consulta la Amazon WAF Developer Guide.
-
Accedi alla console AWS WAF.
-
Configura le impostazioni del filtro per controllare l'URI e elencare i valori che desideri accettare rispetto alla regola XSS.
-
Modifica la regola XSS di questa soluzione e aggiungi la nuova condizione che hai creato.
Ad esempio, per escludere tutto dall'elenco, scegli quanto segue URLs in Quando una richiesta:
-
non
-
corrisponde ad almeno uno dei filer nella condizione di corrispondenza delle stringhe
-
Lista consentita XSS
-
