跨網站指令碼攻擊規則陳述式 - AWS WAF, AWS Firewall Manager和 AWS Shield Advanced
規則陳述式特性在哪裡可以找到這個規則聲明

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

跨網站指令碼攻擊規則陳述式

本節說明什麼是XSS(跨站點腳本)攻擊聲明以及它如何工作。

XSS攻擊聲明會檢查 Web 請求組件中是否有惡意腳本。在一XSS次攻擊中,攻擊者會利用良性網站中的漏洞作為工具,將惡意的用戶端網站指令碼插入其他合法的網頁瀏覽器。

規則陳述式特性

嵌套-您可以嵌套此語句類型。

WCUs— 40WCUs,作為基本成本。如果您使用請求組件所有查詢參數,請添加 10 WCUs。如果您使用要求元件JSON主體,則將基本成本加倍WCUs。針對您套用的每個「文字」變形,新增 10 WCUs。

此陳述式類型會在 Web 要求元件上運作,而且需要下列要求元件設定:

  • 要求元件 — 要檢查的 Web 要求部分,例如查詢字串或本文。

    警告

    如果您檢查要求元件主JSON、內文、標頭Cookie,請閱讀有關內容量的限制 AWS WAF 可以在檢查處理過大的 Web 請求組件 AWS WAF

    如需 Web 要求元件的詳細資訊,請參閱調整規則陳述式設定 AWS WAF

  • 可選文本轉換-您想要的轉換 AWS WAF 在檢查請求組件之前對請求組件執行。例如,您可以轉換為小寫或標準化空格。如果您指定了多個轉換, AWS WAF 以列出的順序處理它們。如需相關資訊,請參閱 在中使用文字轉換 AWS WAF

在哪裡可以找到這個規則聲明

  • 主控台上的規則產生器 — 對於比對類型,請選擇 [攻擊比對條件] > [包含XSS注入攻擊]。

  • APIXssMatchStatement