Instrução de regra de ataque de script entre sites - AWS WAF, AWS Firewall Manager e AWS Shield Advanced
Características da declaração de regraOnde encontrar essa instrução de regra

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Instrução de regra de ataque de script entre sites

Esta seção explica o que é uma declaração de ataque XSS (cross-site scripting) e como ela funciona.

Uma declaração de XSS ataque inspeciona scripts maliciosos em um componente de solicitação da web. Em um XSS ataque, o atacante usa vulnerabilidades em um site benigno como um veículo para injetar scripts maliciosos do site do cliente em outros navegadores legítimos.

Características da declaração de regra

Aninhável: você pode aninhar esse tipo de instrução.

WCUs— 40WCUs, como custo base. Se você usar o componente de solicitação Todos os parâmetros de consulta, adicione 10WCUs. Se você usar o JSONcorpo do componente da solicitação, dobre o custo baseWCUs. Para cada transformação de texto aplicada, adicione 10WCUs.

Esse tipo de instrução opera em um componente de solicitação da web e requer as seguintes configurações do componente de solicitação:

  • Componente de solicitação: a parte da solicitação da web para inspecionar, por exemplo, uma string de consulta ou o corpo.

    Atenção

    Se você inspecionar os componentes da solicitação Corpo, JSONCorpo, Cabeçalhos ou Cookies, leia sobre as limitações da quantidade de conteúdo AWS WAF pode inspecionar em. Lidando com componentes de solicitação da Web de tamanho grande em AWS WAF

    Para informações sobre componentes de solicitação da web, consulte Ajustando as configurações da declaração de regra em AWS WAF.

  • Transformações de texto opcionais — Transformações que você deseja AWS WAF para executar no componente de solicitação antes de inspecioná-lo. Por exemplo, você pode transformar para minúsculas ou normalizar o espaço em branco. Se você especificar mais de uma transformação, AWS WAF os processa na ordem listada. Para ter mais informações, consulte Usando transformações de texto em AWS WAF.

Onde encontrar essa instrução de regra

  • Construtor de regras no console — Para Tipo de partida, escolha Condição de partida de ataque > Contém ataques de XSS injeção.

  • APIXssMatchStatement