本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
跨網站指令碼攻擊規則陳述式
本節說明什麼是XSS(跨站點腳本)攻擊聲明以及它如何工作。
XSS攻擊聲明會檢查 Web 請求組件中是否有惡意腳本。在一XSS次攻擊中,攻擊者會利用良性網站中的漏洞作為工具,將惡意的用戶端網站指令碼插入其他合法的網頁瀏覽器。
規則陳述式特性
嵌套-您可以嵌套此語句類型。
WCUs— 40WCUs,作為基本成本。如果您使用請求組件所有查詢參數,請添加 10 WCUs。如果您使用要求元件JSON主體,則將基本成本加倍WCUs。針對您套用的每個「文字」變形,新增 10 WCUs。
此陳述式類型會在 Web 要求元件上運作,而且需要下列要求元件設定:
要求元件 — 要檢查的 Web 要求部分,例如查詢字串或本文。
警告
如果您檢查要求元件主JSON體、內文、標頭或 Cookie,請閱讀有關內容量的限制 AWS WAF 可以在檢查處理過大的 Web 請求組件 AWS WAF。
如需 Web 要求元件的詳細資訊,請參閱調整規則陳述式設定 AWS WAF。
可選文本轉換-您想要的轉換 AWS WAF 在檢查請求組件之前對請求組件執行。例如,您可以轉換為小寫或標準化空格。如果您指定了多個轉換, AWS WAF 以列出的順序處理它們。如需相關資訊,請參閱 在中使用文字轉換 AWS WAF。
在哪裡可以找到這個規則聲明
-
主控台上的規則產生器 — 對於比對類型,請選擇 [攻擊比對條件] > [包含XSS注入攻擊]。
-
API – XssMatchStatement