使用跨站点脚本匹配条件 - AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced

使用跨站点脚本匹配条件

警告

AWS WAF Classic 支持将于 2025 年 9 月 30 日结束。

注意

这是 AWS WAF Classic 文档。仅当 2019 年 11 月之前在 AWS WAF 中创建了 AWS WAF 资源(例如规则和 Web ACL),但尚未将这些资源迁移到最新版本时,才应使用此版本。要迁移您的 Web ACL,请参阅 将 AWS WAF Classic 资源迁移到 AWS WAF

有关 AWS WAF 的最新版本,请参阅 AWS WAF

攻击者有时会将脚本插入到 Web 请求中,以试图利用 Web 应用程序中的漏洞。您可以创建一个或多个跨站点脚本匹配条件,确定 AWS WAF Classic 应对 Web 请求检查是否有恶意脚本的部分,如 URI 或查询字符串。在这个过程中的稍后阶段,在创建 Web ACL 时,需要指定是允许还是阻止表现为包含恶意脚本的请求。

创建跨站点脚本匹配条件

当您创建跨站点脚本匹配条件时,可以指定筛选条件。筛选条件指示 Web 请求中您希望 AWS WAF Classic 检查是否存在恶意脚本的部分,如 URI 或查询字符串。您可以将多个筛选条件添加到跨站点脚本匹配条件,也可以为每个筛选条件创建单独条件。下面是每种配置影响 AWS WAF Classic 行为的方式:

  • 每个跨站点脚本匹配条件多个筛选条件(推荐):将包含多个筛选条件的跨站点脚本匹配条件添加到一个规则并将该规则添加到 Web ACL 时,Web 请求只需与跨站点脚本匹配条件中的一个筛选条件匹配,AWS WAF Classic 即可基于该条件允许或阻止请求。

    例如,假设您创建一个跨站点脚本匹配条件并且该条件包含两个筛选条件。一个筛选条件指示 AWS WAF Classic 在 URI 中检查是否有恶意脚本,另一个筛选条件指示 AWS WAF Classic 检查查询字符串。AWS WAF如果请求表现为在 URI 查询字符串中包含恶意脚本,则 Classic 允许或阻止请求。

  • 每个跨站点脚本匹配条件一个筛选条件:将单独的跨站点脚本匹配条件添加到一个规则并将该规则添加到 Web ACL 时,Web 请求必须与所有条件匹配,AWS WAF Classic 才会基于条件允许或阻止请求。

    假设您创建两个条件,每个条件包含前面示例中的两个筛选条件中的一个。如果将这两个条件添加到同一个规则并将该规则添加到 Web ACL,则仅当 URI 和查询字符串都表现为包含恶意脚本时,AWS WAF Classic 才会允许或阻止请求。

注意

将跨站点脚本匹配条件添加到规则时,您还可以将 AWS WAF Classic 配置为允许或阻止表现为包含恶意脚本的 Web 请求。

创建跨站点脚本匹配条件
  1. 登录 AWS Management Console,然后打开 AWS WAF 控制台,网址为:https://console.aws.amazon.com/wafv2/

    如果您在导航窗格中看到切换到 AWS WAF Classic,请将其选中。

  2. 在导航窗格中,选择 Cross-site scripting

  3. 选择 创建条件

  4. 指定适用的筛选条件设置。有关更多信息,请参阅 创建或编辑跨站点脚本匹配条件时指定的值

  5. 选择 再添加一个筛选条件

  6. 如果要添加其他筛选条件,请重复步骤 4 和 5。

  7. 添加完筛选条件后,选择 Create

创建或编辑跨站点脚本匹配条件时指定的值

创建或更新跨站点脚本匹配条件时,需要指定以下值:

名称

跨站点脚本匹配条件的名称。

该名称只能包含字符 A-Z、a-z、0-9 以及特殊字符:_-!"#`+*},./。条件的名称在创建后不可更改。

Part of the request to filter on

选择 AWS WAF Classic 应对每个 Web 请求检查是否有恶意脚本的部分:

标题

指定的请求标头,例如 User-AgentReferer 标头。如果选择 Header,则在 Header 字段中指定标头的名称。

HTTP method

HTTP 方法,指示请求要求源执行的操作的类型。CloudFront 支持以下方法:DELETEGETHEADOPTIONSPATCHPOSTPUT

查询字符串

URL 中在 ? 字符之后出现的部分 (如果有)。

注意

对于跨站点脚本匹配条件,我们建议您为要作为筛选条件的请求部分选择所有查询参数(仅限值),而不是查询字符串

URI

请求的 URI 路径,用于标识资源,例如 /images/daily-ad.jpg。这不包括 URI 的查询字符串或片段组件。有关信息,请参阅统一资源标识符 (URI):一般语法

除非指定了 转换,否则 URI 不会被标准化,并且会被检查,就像 AWS 是作为请求的一部分从客户端收到它一样。转换 将按指定方式重新设置 URI 的格式。

Body

请求中包含要作为 HTTP 请求正文发送到 Web 服务器的任何附加数据 (如表单数据) 的部分。

注意

如果选择正文作为要作为筛选条件的请求部分 的值,则 AWS WAF Classic 只检查前 8192 个字节 (8 KB)。要允许或阻止正文长度超过 8192 个字节的请求,可以创建大小约束条件。(AWS WAF Classic 会从请求标头获取正文的长度。) 有关更多信息,请参阅 使用大小约束条件

单一查询参数(仅限值)

您已定义为查询字符串的一部分的任何参数。例如,如果 URL 为“www.xyz.com?UserName=abc&SalesRegion=seattle”,您可以向 UserNameSalesRegion 参数添加一个筛选条件。

如果您选择 单一查询参数(仅限值),您还将指定 查询参数名称。这是查询字符串中您将检查的参数,如 UserNameSalesRegion查询参数名称 的最大长度为 30 个字符。查询参数名称 不区分大小写。例如,如果您指定 UserName 作为 查询参数名称,这将匹配 UserName 的所有变体,如 usernameUsERName

所有查询参数(仅限值)

单一查询参数(仅限值) 类似,但此处不是检查单一参数的值,而是 AWS WAF Classic 检查查询字符串中的所有参数值,以确定是否存在可能的恶意脚本。例如,如果 URL 是“www.xyz.com?UserName=abc&SalesRegion=seattle”,并且您选择所有查询参数(仅限值),则当 UserNameSalesRegion 的值包含可能的恶意脚本时,AWS WAF Classic 将触发匹配。

标题

如果选择标头用于要作为筛选条件的请求部分,则从常见标头列表中选择标头,或输入您希望 AWS WAF Classic 检查是否有恶意脚本的标头的名称。

Transformation

转换可在 AWS WAF Classic 检查 Web 请求之前重新格式化请求。这可消除一些不寻常的格式,可防范攻击者在 Web 请求中使用它们以试图绕过 AWS WAF Classic。

您只能指定一个类型的文本转换。

转换可以执行以下操作:

AWS WAF Classic 在针对要匹配的值中的字符串检查 Web 请求之前,不会对它执行任何文本转换。

转换为小写形式

AWS WAF Classic 将大写字母 (A-Z) 转换为小写字母 (a-z)。

HTML decode

AWS WAF Classic 将 HTML 编码的字符替换为未编码的字符:

  • " 替换为 &

  •   替换为不间断空格

  • &lt; 替换为 <

  • &gt; 替换为 >

  • 将以十六进制格式表示的字符 &#xhhhh; 替换为对应字符

  • 将以十进制格式表示的字符 &#nnnn; 替换为对应字符

规范化空格

AWS WAF Classic 将以下字符替换为空格字符(十进制 32):

  • \f,换页符,十进制 12

  • \t,制表符,十进制 9

  • \n,换行符,十进制 10

  • \r,回车符,十进制 13

  • \v,垂直制表符,十进制 11

  • 不间断空格,十进制 160

此外,此选项将多个空格替换为一个空格。

Simplify command line

对于包含操作系统命令行命令的请求,使用此选项可执行以下转换:

  • 删除以下字符:\ " ' ^

  • 删除以下字符之前的空格:/ (

  • 将以下字符替换为空格:, ;

  • 将多个空格替换为一个空格

  • 将大写字母 (A-Z) 转换为小写字母 (a-z)

URL decode

解码 URL 编码的请求。

在跨站点脚本匹配条件中添加和删除筛选条件

您可以在跨站点脚本匹配条件中添加或删除筛选条件。要更改筛选条件,请添加一个新筛选条件并删除旧条件。

在跨站点脚本匹配条件中添加或删除筛选条件
  1. 登录 AWS Management Console,然后打开 AWS WAF 控制台,网址为:https://console.aws.amazon.com/wafv2/

    如果您在导航窗格中看到切换到 AWS WAF Classic,请将其选中。

  2. 在导航窗格中,选择 Cross-site scripting

  3. 选择要在其中添加或删除筛选条件的条件。

  4. 要添加筛选条件,请执行以下步骤:

    1. 选择 添加筛选条件

    2. 指定适用的筛选条件设置。有关更多信息,请参阅 创建或编辑跨站点脚本匹配条件时指定的值

    3. 选择添加

  5. 要删除筛选条件,请执行以下步骤:

    1. 选择要删除的筛选条件。

    2. 选择 删除筛选器

删除跨站点脚本匹配条件

如果要删除某个跨站点脚本匹配条件,则必须先删除该条件中的所有筛选条件,然后从使用该条件的所有规则中将其删除,如以下过程中所述。

删除跨站点脚本匹配条件
  1. 登录 AWS Management Console,然后打开 AWS WAF 控制台,网址为:https://console.aws.amazon.com/wafv2/

    如果您在导航窗格中看到切换到 AWS WAF Classic,请将其选中。

  2. 在导航窗格中,选择 Cross-site scripting

  3. Cross-site scripting match conditions 窗格中,选择要删除的跨站点脚本匹配条件。

  4. 在右窗格中,选择 关联的规则 选项卡。

    如果使用此跨站点脚本匹配条件的规则的列表为空,请转到步骤 6。如果列表中包含任何规则,则记下这些规则,然后继续执行步骤 5。

  5. 要从使用跨站点脚本匹配条件的规则中删除它,请执行以下步骤:

    1. 在导航窗格中,选择规则

    2. 选择使用要删除的跨站点脚本匹配条件的规则的名称。

    3. 在右窗格中,选择要从规则中删除的跨站点脚本匹配条件,然后选择 Remove selected condition

    4. 对使用要删除的跨站点脚本匹配条件的所有其余规则重复步骤 b 和 c。

    5. 在导航窗格中,选择 Cross-site scripting

    6. Cross-site scripting match conditions 窗格中,选择要删除的跨站点脚本匹配条件。

  6. 选择 删除 删除所选条件。