介绍 Amazon WAF 的全新控制台体验
现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验。
跨站点脚本攻击规则语句
本节介绍了什么是 XSS(跨站点脚本)攻击语句及其工作方式。
XSS攻击语句会检查 Web 请求组件中是否存在恶意脚本。在 XSS 攻击中,攻击者将良性网站中的漏洞作为载体,以将恶意客户端站点脚本,注入到其它合法 Web 浏览器中。
规则语句特征
嵌套 – 您可以嵌套此语句类型。
WCU – 40 个 WCU,作为基本成本。如果您使用请求组件所有查询参数,请添加 10 个 WCU。如果您使用请求组件 JSON 正文,则将基本成本 WCU 增加一倍。对于您应用的每个文本转换,添加 10 个 WCU。
此语句类型在 Web 请求组件上运行,需要以下请求组件设置:
请求组件 – Web 请求中要检查的部分,例如查询字符串或正文。
警告
如果要您检查请求组件正文、JSON 正文、标头 或 Cookie,请在 Amazon WAF 中的超大 web 请求组件 中阅读有关可检查的内容 Amazon WAF 数量的限制。
有关请求组件的更多信息,请参阅 在 Amazon WAF 中调整规则语句设置。
可选文本转换 – 在检查请求组件之前 Amazon WAF 要对其执行的转换。例如,您可以将空格转换为小写或标准化空格。如果您指定多个转换,Amazon WAF 将按列出的顺序处理它们。有关信息,请参阅在 Amazon WAF 中使用文本转换。
在何处查找规则语句
-
控制台上的规则生成器 – 对于匹配类型,请选择攻击匹配条件 > 包含 XSS 注入攻击。
-
API – XssMatchStatement