跨站点脚本攻击规则语句 - AWS WAF、 AWS Firewall ManagerAWS Shield Advanced、和 AWS Shield 网络安全总监
规则语句特征在何处查找规则语句

引入全新的主机体验 AWS WAF

现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨站点脚本攻击规则语句

本节介绍了什么是 XSS(跨站点脚本)攻击语句及其工作方式。

XSS攻击语句会检查 Web 请求组件中是否存在恶意脚本。在 XSS 攻击中,攻击者将良性网站中的漏洞作为载体,以将恶意客户端站点脚本,注入到其它合法 Web 浏览器中。

规则语句特征

嵌套 – 您可以嵌套此语句类型。

WCUs— 40 WCUs,作为基本成本。如果您使用请求组件 All 查询参数,请添加 10 WCUs。如果您使用请求组件 JSON 正文,则将基本成本增加一倍 WCUs。对于您应用的每个文本转换,请添加 10 WCUs。

此语句类型在 Web 请求组件上运行,需要以下请求组件设置:

  • 请求组件 – Web 请求中要检查的部分,例如查询字符串或正文。

    警告

    如果您检查请求组件 B odyJSON 正文、Header s 或 Cookie,请阅读有关内容 AWS WAF 可检查数量的限制中的 Web 请求组件过大 AWS WAF

    有关请求组件的更多信息,请参阅 在中调整规则语句设置 AWS WAF

  • 可选的文本转换-在检查请求组件之前 AWS WAF 要对其执行的转换。例如,您可以将空格转换为小写或标准化空格。如果您指定了多个转换,则按列出的顺序 AWS WAF 处理它们。有关信息,请参阅在中使用文本转换 AWS WAF

在何处查找规则语句

  • 控制台上的规则生成器 – 对于匹配类型,请选择攻击匹配条件 > 包含 XSS 注入攻击

  • APIXssMatchStatement