處理 XSS 誤報

此解決方案會設定 AWS WAF 規則，檢查傳入請求的常見探索元素，以識別和封鎖 XSS 攻擊。如果您的工作負載允許合法使用者編寫和提交 HTML，例如，在內容管理系統中使用富文字編輯器，則此偵測模式效率較低。在此案例中，請考慮建立例外狀況規則，以略過接受富文字輸入的特定 URL 模式的預設 XSS 規則，並實作替代機制來保護這些排除URLs。

此外，某些影像或自訂資料格式可能會導致誤報，因為它們包含表示 HTML 內容中潛在 XSS 攻擊的模式。例如，SVG 檔案可能包含<script>標籤。如果您預期合法使用者提供這類內容，請嚴格調整 XSS 規則，以允許包含這些其他資料格式的 HTML 請求。

完成下列步驟以更新 XSS 規則，以排除接受 HTML 做為輸入的 URLs。如需詳細說明，請參閱 Amazon WAF 開發人員指南。

1. 登入 AWS WAF 主控台。

2. 建立字串比對或 regex 條件。

3. 設定篩選條件設定以檢查 URI，並列出您要針對 XSS 規則接受的值。

4. 編輯此解決方案的 XSS 規則，並新增您建立的新條件。

   例如，若要排除清單中的所有 URLs，請為當請求 時選擇以下項目：

   • 不會

   • 在字串比對條件中比對至少一個檔案器

   • XSS 允許清單