**에 대한 새로운 콘솔 환경 소개 AWS WAF**

이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 [콘솔 작업을 참조하세요](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 교차 사이트 스크립팅 공격 규칙 문
<a name="waf-rule-statement-type-xss-match"></a>

이 섹션에서는 XSS(크로스 사이트 스크립팅) 공격 문이 무엇인지, 어떻게 작동하는지를 설명합니다.

XSS 공격 문은 웹 요청 구성 요소의 악성 스크립트를 검사합니다. XSS 공격에서 공격자는 악성 클라이언트 사이트 스크립트를 다른 합법적 웹 브라우저에 삽입하는 수단으로 양성 웹 사이트의 취약점을 이용합니다.

## 규칙 문 특성
<a name="xss-match-characteristics"></a>

**중첩 가능** – 이러한 문 유형을 중첩할 수 있습니다.

**WCU** - 40WCU(기본 비용). 요청 구성 요소 **모든 쿼리 파라미터**를 사용하는 경우 10WCU를 추가하십시오. 요청 구성 요소 **JSON 본문**을 사용하는 경우 기본 비용 WCU를 두 배로 늘리십시오. 적용하는 각 **텍스트 변환**에 대해 10WCU를 추가하십시오.

이 문은 웹 요청 구성 요소에서 작동하며 작동을 위해선 다음과 같은 요청 구성 요소 설정이 필요합니다.
+ **요청 구성 요소** – 검사할 웹 요청 부분(예: 쿼리 문자열 또는 본문).
**주의**  
요청 구성 요소 **본문**, **JSON 본문**, **헤더** 또는 **쿠키를** 검사하는 경우에서 검사 AWS WAF 할 수 있는 콘텐츠의 양에 대한 제한 사항에 대해 읽어보세요[에서 웹 요청 구성 요소 크기 초과 AWS WAF](waf-oversize-request-components.md).

  웹 요청 구성 요소에 대한 자세한 내용은 [에서 규칙 문 설정 조정 AWS WAF](waf-rule-statement-fields.md) 섹션을 참조하세요.
+ **선택적 텍스트 변환** - 요청 구성 요소를 검사 AWS WAF 하기 전에 요청 구성 요소에 대해 수행하려는 변환입니다. 예를 들어, 소문자로 변환하거나 공백을 정규화할 수 있습니다. 둘 이상의 변환을 지정하는 경우는 나열된 순서대로 변환을 AWS WAF 처리합니다. 자세한 내용은 [에서 텍스트 변환 사용 AWS WAF](waf-rule-statement-transformation.md) 단원을 참조하세요.

## 이 규칙 문을 찾을 수 있는 위치
<a name="xss-match-where-to-find"></a>
+ 콘솔의 **규칙 빌더** – **일치 유형**에서 **공격 일치 조건** > **XSS 주입 공격 포함**을 선택합니다.
+ **API** – [XssMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_XssMatchStatement.html)