跨網站指令碼攻擊規則陳述式 - AWS WAFAWS Firewall Manager、 AWS Shield Advanced和 AWS Shield 網路安全主管
規則陳述式特性尋找此規則陳述式的位置

推出 的新主控台體驗 AWS WAF

您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱使用更新的主控台體驗

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

跨網站指令碼攻擊規則陳述式

本節說明什麼是 XSS (跨網站指令碼) 攻擊陳述式及其運作方式。

XSS 攻擊陳述式會檢查 Web 請求元件中是否有惡意指令碼。在 XSS 攻擊中,攻擊者會使用良性網站中的漏洞做為工具,將惡意用戶端網站指令碼注入其他合法的 Web 瀏覽器。

規則陳述式特性

可巢狀 – 您可以巢狀化此陳述式類型。

WCUs – 40 WCUs,作為基本成本。如果您使用請求元件 所有查詢參數,請新增 10 WCUs。如果您使用請求元件 JSON 內文,請將基本成本 WCUs加倍。針對您套用的每個文字轉換,新增 10 WCUs。

此陳述式類型在 Web 請求元件上運作,且需要下列請求元件設定:

  • 請求元件 – 要檢查的 Web 請求部分,例如查詢字串或內文。

    警告

    如果您檢查請求元件文、JSON 內文標頭Cookie,請閱讀有關 AWS WAF 可檢查多少內容的限制在 中過大 Web 請求元件 AWS WAF

    如需 Web 請求元件的詳細資訊,請參閱 在 中調整規則陳述式設定 AWS WAF

  • 選用文字轉換 – AWS WAF 您想要在檢查請求元件之前對請求元件執行的轉換。例如,您可以將 轉換為小寫或標準化空格。如果您指定多個轉換, 會依列出的順序 AWS WAF 處理它們。如需相關資訊,請參閱在 中使用文字轉換 AWS WAF

尋找此規則陳述式的位置

  • 主控台上的規則建置器 – 針對相符類型,選擇攻擊比對條件 > 包含 XSS 注入攻擊

  • APIXssMatchStatement