Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Istruzione regola di attacco di Cross-site scripting
Questa sezione spiega cos'è un'istruzione di attacco XSS (cross-site scripting) e come funziona.
Una dichiarazione di XSS attacco verifica la presenza di script dannosi in un componente di richiesta Web. In un XSS attacco, l'aggressore utilizza le vulnerabilità di un sito Web innocuo come veicolo per iniettare script dannosi del sito client in altri browser Web legittimi.
Caratteristiche della dichiarazione delle regole
Nestable: puoi annidare questo tipo di istruzione.
WCUs— 40WCUs, come costo base. Se si utilizza il componente di richiesta Tutti i parametri di interrogazione, aggiungere 10WCUs. Se utilizzi il JSONcorpo del componente della richiesta, raddoppia il costo baseWCUs. Per ogni trasformazione di testo che applichi, aggiungi 10WCUs.
Questo tipo di istruzione funziona su un componente di richiesta Web e richiede le seguenti impostazioni del componente di richiesta:
Componente di richiesta: la parte della richiesta Web per ispezionare, ad esempio, una stringa di query o il corpo.
avvertimento
Se controlli i componenti della richiesta Body, JSONbody, Headers o Cookies, leggi le limitazioni relative alla quantità di contenuto AWS WAF può ispezionare a. Gestione di componenti di richieste Web di grandi dimensioni in AWS WAF
Per informazioni sui componenti delle richieste Web, vedereRegolazione delle impostazioni delle istruzioni delle regole in AWS WAF.
Trasformazioni di testo opzionali: le trasformazioni desiderate AWS WAF da eseguire sul componente richiesto prima di ispezionarlo. Ad esempio, è possibile trasformare in lettere minuscole o normalizzare lo spazio bianco. Se specificate più di una trasformazione, AWS WAF le elabora nell'ordine elencato. Per informazioni, consultare Utilizzo delle trasformazioni di testo in AWS WAF.
Dove trovare questa dichiarazione di regole
-
Generatore di regole sulla console: per il tipo Match, scegli Attack match condition > Contiene attacchi di XSS iniezione.
-
API – XssMatchStatement
