跨網站指令碼攻擊規則陳述式 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

跨網站指令碼攻擊規則陳述式

XSS (跨網站指令碼) 攻擊陳述式會檢查 Web 要求元件中是否有惡意指令碼。在 XSS 攻擊中,攻擊者會利用良性網站中的弱點做為工具,將惡意用戶端網站指令碼插入其他合法的網頁瀏覽器。

嵌套-您可以嵌套此語句類型。

WCU — 40 個 WCU,作為基本成本。如果您使用要求元件所有查詢參數,請新增 10 個 WCU。如果您使用要求元件 JSON 主體,則將基本成本的 WCU 加倍。針對您套用的每個文字轉換,新增 10 個 WCU。

此陳述式類型會在 Web 要求元件上運作,而且需要下列要求元件設定:

  • 要求元件 — 要檢查的 Web 要求部分,例如查詢字串或內文。

    警告

    如果您檢查要求元件文、JSON文、標頭Cookie,請參閱AWS WAF可以檢查多少內容的限制處理過大的 Web 請求組件 AWS WAF

    如需 Web 要求元件的詳細資訊,請參閱網頁要求元件

  • 選擇性文字轉換 — 您要在檢查要求元件之前對AWS WAF要求元件執行的轉換。例如,您可以轉換為小寫或標準化空格。如果您指定多個轉換,則會依照列出的順AWS WAF序處理這些轉換。如需相關資訊,請參閱 文字轉換

在哪裡可以找到這個規則聲明
  • 主控台上的規則產生器 — 對於比對類型,請選擇 [攻擊符合條件] > [包含 XSS 插入攻擊]。

  • APIXssMatchStatement