跨站点脚本攻击规则语句 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨站点脚本攻击规则语句

XSS(跨站点脚本)攻击语句会检查 Web 请求组件中是否存在恶意脚本。在 XSS 攻击中,攻击者利用良性网站中的漏洞作为工具,将恶意的客户端站点脚本注入其他合法的 Web 浏览器。

嵌套-您可以嵌套此语句类型。

WCU — 40 个 WCU,作为基本成本。如果您使用请求组件所有查询参数,请添加 10 个 WCU。如果您使用请求组件 JSON 正文,则将基本成本 WCU 增加一倍。对于您应用的每个文本转换,添加 10 个 WCU。

此语句类型在 Web 请求组件上运行,需要以下请求组件设置:

  • 请求组件 — Web 请求中要检查的部分,例如查询字符串或正文。

    警告

    如果您检查请求组件 B odyJSON 正文、Header s 或 Cookie,请阅读有关内容Amazon WAF可检查数量的限制在中处理超大的 Web 请求组件 Amazon WAF

    有关 Web 请求组件的信息,请参阅Web 请求组件

  • 可选的文本转换-在检查请求组件之前Amazon WAF要对其执行的转换。例如,您可以转换为小写或标准化空白。如果您指定了多个转换,则按列出的顺序Amazon WAF处理这些转换。有关信息,请参阅 文本转换

在哪里可以找到此规则声明

  • 控制台上的@@ 规则生成器-对于匹配类型,选择攻击匹配条件 > 包含 XSS 注入攻击

  • APIXssMatchStatement