处理 XSS 误报 - AWS WAF 的安全自动化

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

处理 XSS 误报

此解决方案配置了 AWS WAF 规则,该规则可检查传入请求中经常探索的元素,以识别和阻止 XSS 攻击。如果您的工作负载允许合法用户撰写和提交 HTML(例如,在内容管理系统中使用富文本编辑器),则这种检测模式的效果会降低。在这种情况下,可以考虑创建一个例外规则,绕过接受富文本输入的特定 URL 模式的默认 XSS 规则,并实施其他机制来保护那些被排除在外的网址。 URLs

此外,某些图像或自定义数据格式可能导致误报,因为它们包含指示 HTML 内容中可能存在 XSS 攻击的模式。例如,一个 SVG 文件可能包含一个<script>标签。如果您希望合法用户提供此类内容,请严格调整您的 XSS 规则,以允许包含这些其他数据格式的 HTML 请求。

完成以下步骤以更新 XSS 规则以排除接受 HTML 作为输入 URLs 的规则。有关详细说明,请参阅 Amazon WAF 开发者指南

  1. 登录 AWS WAF 控制台

  2. 创建字符串匹配或正则表达式条件

  3. 根据 XSS 规则,配置筛选器设置以检查要接受的 URI 和列出要接受的值。

  4. 编辑此解决方案的 XSS 规则添加您创建的新条件

    例如,要排除列表 URLs 中的所有内容,请在 “请求时” 中选择以下选项

    • 不是

    • 匹配字符串匹配条件中的至少一个申报器

    • XSS 允许名单