跨網站指令碼攻擊規則陳述式 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

跨網站指令碼攻擊規則陳述式

XSS (跨網站指令碼) 攻擊陳述式會檢查 Web 要求元件中是否有惡意指令碼。在 XSS 攻擊中,攻擊者使用良性網站中的漏洞做為手段,將惡意用戶端網站指令碼注入其他合法 Web 瀏覽器。

可形成巢狀— 您可以將此陳述式類型巢狀化。

WCU— 40 個 WCU,作為基本成本。如果您使用請求組件所有查詢參數,新增 10 個 WCU。如果您使用請求組件正文,將基本成本加倍的 WCU。Fin EACH文字轉換您套用,請新增 10 個 WCU。

此陳述式類型會在 Web 要求元件上運作,而且需要下列要求元件設定:

  • 請求元件— 要檢查的 Web 請求部分,例如查詢字串或主體。

    警告

    如果您檢查請求組件Body (本文)正文標頭, 或Cookie,閱讀有關多少內容的限制AWS WAF可以在檢查請求組件的超大處理

    如需 Web 要求元件的資訊,請參閱。網頁要求元件

  • 選用的文字轉換— 您想要的轉換AWS WAF在檢查請求組件之前對請求組件執行。例如,您可以轉換為小寫或標準化空格。如果指定一個個個多於一個的轉換,AWS WAF以列出的順序處理它們。如需相關資訊,請參閱 文字轉換

哪裡可以找到此項

  • 規則建置器在主控台上 — 對於符合類型,選擇攻擊符合條件 >包含 XSS 注入攻擊

  • API 陳述式XssMatchStatement