クロスサイトスクリプティング攻撃ルールステートメント

XSS (クロスサイトスクリプティング) 攻撃ステートメントは、ウェブリクエストコンポーネント内の悪意のあるスクリプトを検査します。XSS 攻撃では、攻撃者は、悪意のあるクライアントサイトスクリプトを他の正当なウェブブラウザに挿入するための手段として、悪意のないウェブサイトの脆弱性を利用します。

ネスト可能 - このステートメントタイプはネスト可能です。

WCU- 40 WCU (基本コストとして)。[All query parameters] (すべてのクエリパラメータ) のリクエストコンポーネントを使用する場合、10 WCU を追加します。[JSON body] (JSON 本文) のリクエストコンポーネントを使用する場合、基本コストの WCU を倍増させます。適用する各テキスト変換について、10 WCU を追加します。

このステートメントタイプは、ウェブリクエストコンポーネントで動作し、次のリクエストコンポーネント設定が必要です。

• [リクエストコンポーネント] — ウェブリクエストの検査対象部分 (クエリ文字列や本文など)。

  警告

  リクエストコンポーネントのボディ、JSON ボディ、ヘッダー、または Cookie を調べる場合は、 AWS WAF コンテンツを検査できる量の制限についてお読みください。でのオーバーサイズリクエストコンポーネントの処理 AWS WAF

  ウェブリクエストコンポーネントの詳細については、「ウェブリクエストコンポーネントの仕様と処理」を参照してください。

• オプションのテキスト変換 — AWS WAF リクエストコンポーネントを検査する前に実行したい変換。例えば、小文字に変換したり、空白を正規化したりできます。複数の変換を指定すると、 AWS WAF リストされている順序で処理されます。詳細については、テキスト変換オプション を参照してください。

このルールステートメントの場所

• コンソールのルールビルダー - [Match type] (一致タイプ) で [Attack match condition] (攻撃一致条件) > [Contains XSS injection attacks] (SQL インジェクション攻撃を含む) を選択します。

• API — XssMatchStatement