교차 사이트 스크립팅 공격 규칙 문

XSS(교차 사이트 스크립팅) 공격 문은 웹 요청 구성 요소의 악성 스크립트를 검사합니다. XSS 공격에서 공격자는 악성 클라이언트 사이트 스크립트를 다른 합법적 웹 브라우저에 삽입하는 수단으로 양성 웹 사이트의 취약점을 이용합니다.

중첩 가능 – 이러한 문 유형을 중첩할 수 있습니다.

WCU - 40WCU(기본 비용). 요청 구성 요소 모든 쿼리 파라미터를 사용하는 경우 10WCU를 추가하십시오. 요청 구성 요소 JSON 본문을 사용하는 경우 기본 비용 WCU를 두 배로 늘리십시오. 적용하는 각 텍스트 변환에 대해 10WCU를 추가하십시오.

이 문은 웹 요청 구성 요소에서 작동하며 작동을 위해선 다음과 같은 요청 구성 요소 설정이 필요합니다.

• 요청 구성 요소 – 검사할 웹 요청 부분(예: 쿼리 문자열 또는 본문).

  주의

  요청 구성 요소 본문, JSON 본문, 헤더 또는 쿠키를 검사하는 경우 AWS WAF 검사할 수 있는 콘텐츠 양에 대한 제한 사항을 읽어보세요. 에서 크기 초과 요청 구성 요소 처리 AWS WAF

  웹 요청 구성 요소에 대한 자세한 내용은 웹 요청 구성 요소 사양 및 처리 섹션을 참조하세요.

• 선택적 텍스트 변환 — 요청 구성 요소를 검사하기 전에 요청 구성 요소에 대해 AWS WAF 수행하려는 변환. 예를 들어, 소문자로 변환하거나 공백을 정규화할 수 있습니다. 변형을 두 개 이상 지정하는 경우, 나열된 순서대로 AWS WAF 처리합니다. 자세한 내용은 텍스트 변환 옵션을 참조하세요.

이 규칙 문을 찾을 수 있는 위치

• 콘솔의 규칙 빌더 – 일치 유형에서 공격 일치 조건 > XSS 주입 공격 포함을 선택합니다.

• API — XssMatchStatement