跨站点脚本攻击规则语句

XSS（跨站点脚本）攻击语句会检查 Web 请求组件中是否存在恶意脚本。在 XSS 攻击中，攻击者将良性网站中的漏洞作为载体，以将恶意客户端站点脚本，注入到其它合法 Web 浏览器中。

嵌套 – 您可以嵌套此语句类型。

WCU – 40 个 WCU，作为基本成本。如果您使用请求组件所有查询参数，请添加 10 个 WCU。如果您使用请求组件 JSON 正文，则将基本成本 WCU 增加一倍。对于您应用的每个文本转换，添加 10 个 WCU。

此语句类型在 Web 请求组件上运行，需要以下请求组件设置：

• 请求组件 – Web 请求中要检查的部分，例如查询字符串或正文。

  警告

  如果您检查请求组件 B ody、JSON 正文、Header s 或 Cookie，请阅读有关内容 AWS WAF 可检查数量的限制在中处理超大请求组件 AWS WAF。

  有关请求组件的更多信息，请参阅 Web 请求组件规格和处理。

• 可选的文本转换-在检查请求组件之前 AWS WAF 要对其执行的转换。例如，您可以将空格转换为小写或标准化空格。如果您指定了多个转换，则按列出的顺序 AWS WAF 处理这些转换。有关信息，请参阅 文本转换选项。

在何处查找规则语句

• 控制台上的规则生成器 – 对于匹配类型，请选择攻击匹配条件 > 包含 XSS 注入攻击。

• API — XssMatchStatement