**Ti presentiamo una nuova esperienza di console per AWS WAF** Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Utilizzo delle istruzioni match rule in AWS WAF Utilizzo delle istruzioni Match Rule Questa sezione spiega cos'è una dichiarazione di corrispondenza e come funziona. Le istruzioni Match confrontano la richiesta web o la sua origine con i criteri forniti dall'utente. Per molte istruzioni di questo tipo, AWS WAF confronta un componente specifico della richiesta per ottenere contenuti corrispondenti. Le istruzioni Match sono instabili. È possibile annidare ognuna di queste istruzioni all'interno di istruzioni di regole logiche e utilizzarle in istruzioni scope-down. Per informazioni sulle istruzioni delle regole logiche, vedere. [Utilizzo di istruzioni di regole logiche in AWS WAF](waf-rule-statements-logical.md) Per informazioni sulle istruzioni scope-down, vedere. [Utilizzo di istruzioni scope-down in AWS WAF](waf-rule-scope-down-statements.md) Questa tabella descrive le istruzioni di corrispondenza regolari che è possibile aggiungere a una regola e fornisce alcune linee guida per il calcolo dell'utilizzo delle unità di capacità (WCU) del Protection Pack (Web ACL) per ciascuna di esse. Per informazioni su, vedere. WCUs [Unità di capacità Web ACL (WCUs) in AWS WAF](aws-waf-capacity-units.md) | Istruzione di corrispondenza | Description | WCUs | | --- | --- | --- | | [Corrispondenza geografica](waf-rule-statement-type-geo-match.md) | Ispeziona il paese di origine della richiesta e applica le etichette per il paese e la regione di origine. | 1 | | [Corrispondenza ASN](waf-rule-statement-type-asn-match.md) | Esamina la richiesta rispetto a un ASN associato agli indirizzi IP e agli intervalli di indirizzi. | 1 | | [Corrispondenza set di IP](waf-rule-statement-type-ipset-match.md) | Esamina la richiesta rispetto a un set di indirizzi IP e intervalli di indirizzi. | 1 per la maggior parte dei casi. Se configuri l'istruzione per utilizzare un'intestazione con indirizzi IP inoltrati e specifichi una posizione nell'intestazione diAny, aumenta il valore di 4. WCUs | | [Dichiarazione della regola di corrispondenza delle etichette](waf-rule-statement-type-label-match.md) | Controlla la richiesta di etichette che sono state aggiunte da altre regole nello stesso pacchetto di protezione (ACL web). | 1 | | [Dichiarazione della regola Regex Match](waf-rule-statement-type-regex-match.md) | Confronta un modello regex con un componente di richiesta specificato. | 3, come costo base. Se si utilizza il componente di richiesta **Tutti i parametri di interrogazione**, aggiungere 10 WCUs. Se utilizzi il **corpo JSON** del componente di richiesta, raddoppia il costo WCUs base. Per ogni **trasformazione di testo** che applichi, aggiungi 10 WCUs. | | [Set del modello regex](waf-rule-statement-type-regex-pattern-set-match.md) | Confronta i modelli di espressione regolare (regex) con un componente di richiesta specificato. | 25 per set di pattern, come costo base. Se si utilizza il componente di richiesta **Tutti i parametri di interrogazione**, aggiungere 10 WCUs. Se utilizzi il **corpo JSON** del componente di richiesta, raddoppia il costo WCUs base. Per ogni **trasformazione di testo** che applichi, aggiungi 10 WCUs. | | [Vincolo di dimensioni](waf-rule-statement-type-size-constraint-match.md) | Controlla i vincoli di dimensione rispetto a un componente di richiesta specificato. | 1, come costo base. Se si utilizza il componente di richiesta **Tutti i parametri di interrogazione**, aggiungere 10 WCUs. Se utilizzi il **corpo JSON** del componente di richiesta, raddoppia il costo WCUs base. Per ogni **trasformazione di testo** che applichi, aggiungi 10 WCUs. | | [SQLiattacco](waf-rule-statement-type-sqli-match.md) | Controlla se è presente codice SQL dannoso in un componente di richiesta specificato. | 20, come costo base. Se si utilizza il componente di richiesta **Tutti i parametri di interrogazione**, aggiungere 10 WCUs. Se utilizzi il **corpo JSON** del componente di richiesta, raddoppia il costo WCUs base. Per ogni **trasformazione di testo** che applichi, aggiungi 10 WCUs. | | [Corrispondenza stringa](waf-rule-statement-type-string-match.md) | Confronta una stringa con un componente di richiesta specificato. | Il costo base dipende dal tipo di stringa che corrisponde ed è compreso tra 1 e 10. Se si utilizza il componente di richiesta **Tutti i parametri di interrogazione**, aggiungere 10 WCUs. Se utilizzi il **corpo JSON** del componente di richiesta, raddoppia il costo WCUs base. Per ogni **trasformazione di testo** che applichi, aggiungi 10 WCUs. | | [Attacco XSS Scripting](waf-rule-statement-type-xss-match.md) | Controlla se in un componente di richiesta specificato sono presenti attacchi cross-site scripting. | 40, come costo base. Se si utilizza il componente di richiesta **Tutti i parametri di interrogazione**, aggiungere 10 WCUs. Se utilizzi il **corpo JSON** del componente di richiesta, raddoppia il costo WCUs base. Per ogni **trasformazione di testo** che applichi, aggiungi 10 WCUs. | # Istruzione regola di corrispondenza geografica Corrispondenza geograficaLa dichiarazione Geo Match ora aggiunge etichette alle richieste per paese e regione Ora puoi gestire le origini delle richieste geografiche a livello di regione combinando la corrispondenza geografica con la corrispondenza delle etichette. Questa sezione spiega cos'è una dichiarazione di corrispondenza geografica e come funziona. Utilizza le istruzioni geografiche o geo match per gestire le richieste web in base al paese e alla regione di origine. Un'istruzione geo match aggiunge etichette alle richieste web che indicano il paese di origine e la regione di origine. Aggiunge queste etichette indipendentemente dal fatto che i criteri della dichiarazione corrispondano alla richiesta. Un'istruzione geo match esegue anche la corrispondenza con il paese di origine della richiesta. ## Come usare l'istruzione geo match È possibile utilizzare l'istruzione geo match per la corrispondenza di paesi o regioni, come segue: + **Paese**: puoi utilizzare una regola di geo match a sé stante per gestire le richieste in base esclusivamente al paese di origine. La dichiarazione delle regole corrisponde ai codici dei paesi. Puoi anche seguire una regola di corrispondenza geografica con una regola di corrispondenza delle etichette che corrisponde all'etichetta del paese di origine. **Nota** Per filtrare il traffico da Hong Kong, usa il codice del paese ISO 3166-1 alpha-2 `HK` nella tua dichiarazione geo match. + **Regione**: utilizza una regola di corrispondenza geografica seguita da una regola di corrispondenza delle etichette per gestire le richieste in base alla regione di origine. Non puoi utilizzare una regola di corrispondenza geografica da sola per la corrispondenza con i codici regionali. Per informazioni sull'utilizzo delle regole di abbinamento delle etichette, consulta [Dichiarazione della regola di corrispondenza delle etichette](waf-rule-statement-type-label-match.md) e[Etichettatura delle richieste Web in AWS WAF](waf-labels.md). ## Come funziona l'istruzione geo match Con l'istruzione geo match, AWS WAF gestisce ogni richiesta web come segue: 1. **Determina i codici del paese e dell'area geografica della richiesta**: AWS WAF determina il paese e la regione di una richiesta in base al relativo indirizzo IP. Per impostazione predefinita, AWS WAF utilizza l'indirizzo IP dell'origine della richiesta Web. È possibile indicare di AWS WAF utilizzare un indirizzo IP da un'intestazione di richiesta alternativa, ad esempio `X-Forwarded-For` abilitando la configurazione IP inoltrata nelle impostazioni della dichiarazione delle regole. AWS WAF determina la posizione delle richieste utilizzando i database MaxMind GeoIP. MaxMind riporta un'accuratezza molto elevata dei propri dati a livello nazionale, sebbene la precisione vari in base a fattori come il paese e il tipo di IP. Per ulteriori informazioni su MaxMind, consulta [Geolocalizzazione MaxMind IP](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). Se ritieni che uno qualsiasi dei dati GeoIP sia errato, puoi inviare una richiesta di correzione a Maxmind all'indirizzo [MaxMind Correct](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction) Geo Data. IP2 AWS WAF utilizza i codici alfa-2 per paese e regione dello standard 3166 dell'Organizzazione internazionale per la standardizzazione (ISO). Puoi trovare i codici nelle seguenti posizioni: + Sul sito web ISO, puoi cercare i codici dei paesi su [ISO Online Browsing Platform (OBP)](https://www.iso.org/obp/ui#home). + Su Wikipedia, i codici dei paesi sono elencati in [ISO 3166-2](https://en.wikipedia.org/wiki/ISO_3166-2). I codici regionali di un paese sono elencati all'URL. `https://en.wikipedia.org/wiki/ISO_3166-2:` [Ad esempio, le regioni degli Stati Uniti d'America sono [conformi alla norma ISO 3166-2:US e per l'Ucraina sono conformi alla norma ISO](https://en.wikipedia.org/wiki/ISO_3166-2:US) 3166-2:UA.](https://en.wikipedia.org/wiki/ISO_3166-2:UA) 1. **Determina l'etichetta del paese e l'etichetta della regione da aggiungere alla richiesta: le** etichette indicano se l'istruzione geo match utilizza l'IP di origine o una configurazione IP inoltrata. + **IP di origine** L'etichetta del paese è`awswaf:clientip:geo:country:`. Esempio per gli Stati Uniti d'America`awswaf:clientip:geo:country:US`:. L'etichetta della regione è`awswaf:clientip:geo:region:-`. Esempio per l'Oregon negli Stati Uniti d'America:. `awswaf:clientip:geo:region:US-OR` + **IP inoltrato** L'etichetta del paese è. `awswaf:forwardedip:geo:country:` Esempio per gli Stati Uniti d'America`awswaf:forwardedip:geo:country:US`:. L'etichetta della regione è`awswaf:forwardedip:geo:region:-`. Esempio per l'Oregon negli Stati Uniti d'America:. `awswaf:forwardedip:geo:region:US-OR` Se il codice del paese o della regione non è disponibile per l'indirizzo IP specificato di una richiesta, AWS WAF utilizza `XX` nelle etichette, al posto del valore. Ad esempio, la seguente etichetta è per un IP client il cui prefisso internazionale non è disponibile: `awswaf:clientip:geo:country:XX` e la seguente è per un IP inoltrato il cui paese sono gli Stati Uniti d'America, ma il cui codice regionale non è disponibile:. `awswaf:forwardedip:geo:region:US-XX` 1. **Valuta il codice del paese della richiesta in base ai criteri della regola** L'istruzione geo match aggiunge etichette di paesi e regioni a tutte le richieste che esamina, indipendentemente dal fatto che trovi o meno una corrispondenza. **Nota** AWS WAF aggiunge qualsiasi etichetta alla fine della valutazione della richiesta web di una regola. Per questo motivo, qualsiasi corrispondenza di etichette utilizzata rispetto alle etichette di un'istruzione geo match deve essere definita in una regola separata dalla regola che contiene l'istruzione geo match. Se desideri controllare solo i valori delle regioni, puoi scrivere una regola di corrispondenza geografica con Count azione e con una singola corrispondenza del codice del paese, seguita da una regola di corrispondenza delle etichette per le etichette delle regioni. È necessario fornire un codice del paese per la valutazione della regola di geo match, anche per questo approccio. Puoi ridurre la registrazione e contare le metriche specificando un paese che è molto improbabile che sia una fonte di traffico verso il tuo sito. ## CloudFront distribuzioni e funzionalità di restrizione geografica CloudFront Per CloudFront le distribuzioni, se utilizzi la funzionalità di restrizione CloudFront geografica, tieni presente che la funzionalità non inoltra le richieste bloccate a. AWS WAF Inoltra le richieste consentite a. AWS WAF Se desideri bloccare le richieste in base alla geografia e ad altri criteri che puoi specificare AWS WAF, usa l'istruzione AWS WAF geo match e non utilizzare la funzione di restrizione CloudFront geografica. ## Caratteristiche della dichiarazione delle regole **Nestable**: puoi annidare questo tipo di istruzione. **WCUs **— 1 WCU. **Impostazioni**: questa dichiarazione utilizza le seguenti impostazioni: + **Codici nazionali**: una serie di codici nazionali da confrontare per una corrispondenza geografica. Questi devono essere codici di paese a due caratteri tratti dai codici ISO alfa-2 dei paesi dello standard internazionale ISO 3166, ad esempio,. `["US","CN"]` + **(Facoltativo) Configurazione IP inoltrata**: per impostazione predefinita, AWS WAF utilizza l'indirizzo IP nell'origine della richiesta Web per determinare il paese di origine. In alternativa, puoi configurare la regola per utilizzare un IP inoltrato in un'intestazione HTTP, come invece. `X-Forwarded-For` AWS WAF utilizza il primo indirizzo IP nell'intestazione. Con questa configurazione, si specifica anche un comportamento di fallback da applicare a una richiesta Web con un indirizzo IP non valido nell'intestazione. Il comportamento di fallback imposta il risultato corrispondente per la richiesta, in modo che corrisponda o non corrisponda. Per ulteriori informazioni, consulta [Utilizzo di indirizzi IP inoltrati](waf-rule-statement-forwarded-ip-address.md). ## Dove trovare questa dichiarazione sulle regole + **Generatore di regole** sulla console: per **l'opzione Richiesta**, scegli **Proviene da un paese in**. + **API — [GeoMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_GeoMatchStatement.html)** ## Esempi Puoi utilizzare l'istruzione geo match per gestire le richieste provenienti da paesi o regioni specifici. Ad esempio, se desideri bloccare le richieste provenienti da determinati paesi, ma consentire comunque le richieste provenienti da uno specifico set di indirizzi IP in tali paesi, puoi creare una regola con l'azione impostata su Block e le seguenti istruzioni annidate, mostrate in pseudocodice: + Dichiarazione AND + Istruzione di corrispondenza geografica che elenca i paesi che desideri bloccare + Dichiarazione NOT + Istruzione del set di IP che specifica gli indirizzi IP che desideri consentire Oppure, se desideri bloccare alcune regioni in determinati paesi, ma consentire comunque le richieste da altre regioni di quei paesi, puoi prima definire una regola di geo match con l'azione impostata su. Count Quindi, definisci una regola di corrispondenza delle etichette che corrisponda alle etichette di corrispondenza geografica aggiunte e gestisca le richieste in base alle tue esigenze. Il seguente pseudo codice descrive un esempio di questo approccio: 1. Dichiarazione Geo Match che elenca i paesi con regioni che desideri bloccare, ma con l'azione impostata su Count. Questa etichetta etichetta ogni richiesta web indipendentemente dallo stato della corrispondenza e fornisce anche le metriche di conteggio per i paesi di interesse. 1. `AND`dichiarazione con azione di blocco + Dichiarazione Label Match che specifica le etichette per i paesi che desideri bloccare + Dichiarazione `NOT` + Dichiarazione Label Match che specifica le etichette delle regioni dei paesi di cui desideri consentire l'accesso Il seguente elenco JSON mostra un'implementazione delle due regole descritte nello pseudocodice precedente. Queste regole bloccano tutto il traffico proveniente dagli Stati Uniti d'America ad eccezione del traffico proveniente da Oregon e Washington. L'istruzione geo match aggiunge etichette di paesi e regioni a tutte le richieste che esamina. La regola label match segue la regola geo match, quindi può corrispondere alle etichette di paesi e regioni che la regola geo match ha appena aggiunto. L'istruzione geo match utilizza un indirizzo IP inoltrato, quindi l'etichetta matching specifica anche le etichette IP inoltrate. ``` { "Name": "geoMatchForLabels", "Priority": 10, "Statement": { "GeoMatchStatement": { "CountryCodes": [ "US" ], "ForwardedIPConfig": { "HeaderName": "X-Forwarded-For", "FallbackBehavior": "MATCH" } } }, "Action": { "Count": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "geoMatchForLabels" } }, { "Name": "blockUSButNotOROrWA", "Priority": 11, "Statement": { "AndStatement": { "Statements": [ { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:forwardedip:geo:country:US" } }, { "NotStatement": { "Statement": { "OrStatement": { "Statements": [ { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:forwardedip:geo:region:US-OR" } }, { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:forwardedip:geo:region:US-WA" } } ] } } } } ] } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "blockUSButNotOROrWA" } } ``` Come altro esempio, puoi combinare la corrispondenza geografica con regole basate sulla tariffa per dare priorità alle risorse per gli utenti di un particolare paese o regione. Crei un'istruzione basata sulla tariffa diversa per ogni dichiarazione geo match o label match che utilizzi per differenziare i tuoi utenti. Imposta un limite di tariffa più alto per gli utenti nel paese o nella regione preferiti e imposta un limite di tariffa più basso per gli altri utenti. Il seguente elenco JSON mostra una regola di geo match seguita da regole basate sulla tariffa che limitano la velocità di traffico proveniente dagli Stati Uniti d'America. Le regole consentono al traffico proveniente dall'Oregon di arrivare a un tasso più elevato rispetto al traffico proveniente da qualsiasi altra parte del paese. ``` { "Name": "geoMatchForLabels", "Priority": 190, "Statement": { "GeoMatchStatement": { "CountryCodes": [ "US" ] } }, "Action": { "Count": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "geoMatchForLabels" } }, { "Name": "rateLimitOregon", "Priority": 195, "Statement": { "RateBasedStatement": { "Limit": 3000, "AggregateKeyType": "IP", "ScopeDownStatement": { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:clientip:geo:region:US-OR" } } } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "rateLimitOregon" } }, { "Name": "rateLimitUSNotOR", "Priority": 200, "Statement": { "RateBasedStatement": { "Limit": 100, "AggregateKeyType": "IP", "ScopeDownStatement": { "AndStatement": { "Statements": [ { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:clientip:geo:country:US" } }, { "NotStatement": { "Statement": { "LabelMatchStatement": { "Scope": "LABEL", "Key": "awswaf:clientip:geo:region:US-OR" } } } } ] } } } }, "Action": { "Block": {} }, "VisibilityConfig": { "SampledRequestsEnabled": true, "CloudWatchMetricsEnabled": true, "MetricName": "rateLimitUSNotOR" } } ``` # Istruzione regola di corrispondenza set di IP Corrispondenza set di IP Questa sezione spiega cos'è un'istruzione IP set match e come funziona. L'istruzione IP set match controlla l'indirizzo IP di una richiesta Web rispetto a un insieme di indirizzi IP e intervalli di indirizzi. Utilizzare questa opzione per consentire o bloccare le richieste Web in base agli indirizzi IP da cui provengono le richieste. Per impostazione predefinita, AWS WAF utilizza l'indirizzo IP dell'origine della richiesta Web, ma è possibile configurare la regola in modo che utilizzi invece un'intestazione HTTP. `X-Forwarded-For` AWS WAF supporta tutti gli intervalli IPv4 e IPv6 CIDR tranne. `/0` Per ulteriori informazioni sulla notazione CIDR, consulta la voce [Classless Inter-Domain Routing](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing) su Wikipedia. Un set di IP può contenere fino a 10.000 indirizzi IP o intervalli di indirizzi IP da controllare. **Nota** Ogni regola di corrispondenza set di IP fa riferimento a un set di IP, creato e mantenuto indipendentemente dalle regole. È possibile utilizzare un singolo set IP in più regole e, quando si aggiorna il set di riferimento, AWS WAF vengono aggiornate automaticamente tutte le regole che vi fanno riferimento. Per informazioni sulla creazione e la gestione di un set IP, vedere[Creazione e gestione di un IP impostato in AWS WAF](waf-ip-set-managing.md). Quando aggiungi o aggiorni le regole nel tuo gruppo di regole o nel Protection Pack (Web ACL), scegli l'opzione **IP set** e seleziona il nome del set IP che desideri utilizzare. ## Caratteristiche della dichiarazione delle regole **Nestable**: puoi annidare questo tipo di istruzione. **WCUs**— 1 WCU per la maggior parte. Se si configura l'istruzione per utilizzare gli indirizzi IP inoltrati e si specifica una posizione diANY, aumentare l'utilizzo della WCU di 4. Questa istruzione utilizza le seguenti impostazioni: + **Specifiche del set IP**: scegli il set IP che desideri utilizzare dall'elenco o creane uno nuovo. + **(Facoltativo) Configurazione IP inoltrata**: un nome di intestazione IP inoltrato alternativo da utilizzare al posto dell'origine della richiesta. Specificate se corrispondere al primo, all'ultimo o a qualsiasi altro indirizzo nell'intestazione. È inoltre necessario specificare un comportamento di fallback da applicare a una richiesta Web con un indirizzo IP non valido nell'intestazione specificata. Il comportamento di fallback imposta il risultato corrispondente per la richiesta, in modo che corrisponda o non corrisponda. Per ulteriori informazioni, consulta [Utilizzo di indirizzi IP inoltrati](waf-rule-statement-forwarded-ip-address.md). ## Dove trovare questa dichiarazione sulle regole **Dove trovare questa dichiarazione di regole** + **Generatore di regole** sulla console: per **l'opzione Richiesta**, scegli **Origini da un indirizzo IP** in. + **Aggiungi la mia pagina di regole e gruppi** di regole sulla console: scegli l'opzione **IP set**. + **API** — [IPSetReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_IPSetReferenceStatement.html) # Dichiarazione della regola di corrispondenza dei numeri di sistema autonomi (ASN) Corrispondenza ASNAWS WAF aggiunge dichiarazioni di corrispondenza ASN È ora possibile abbinare le richieste Web in base all'Autonomous System Number (ASN) dell'indirizzo IP di origine. Un'istruzione ASN match rule AWS WAF consente di ispezionare il traffico web in base all'Autonomous System Number (ASN) associato all'indirizzo IP della richiesta. ASNs sono identificatori univoci assegnati a reti Internet di grandi dimensioni gestite da organizzazioni quali provider di servizi Internet, imprese, università o agenzie governative. Utilizzando le istruzioni ASN Match, è possibile consentire o bloccare il traffico proveniente da organizzazioni di rete specifiche senza dover gestire singoli indirizzi IP. Questo approccio offre un modo più stabile ed efficiente per controllare l'accesso rispetto alle regole basate su IP, poiché le modifiche vengono ASNs modificate meno frequentemente rispetto agli intervalli IP. La corrispondenza ASN è particolarmente utile in scenari come bloccare il traffico proveniente da reti problematiche note o consentire l'accesso solo da reti di partner affidabili. L'istruzione ASN match offre flessibilità nella determinazione dell'indirizzo IP del client tramite una configurazione IP inoltrata opzionale, rendendola compatibile con varie configurazioni di rete, comprese quelle che utilizzano reti di distribuzione dei contenuti () o proxy inversi. CDNs **Nota** ASN Matching integra, ma non sostituisce, i controlli standard di autenticazione e autorizzazione. Ti consigliamo di implementare meccanismi di autenticazione e autorizzazione, come IAM, per verificare l'identità di tutte le richieste nelle tue applicazioni. ## Come funziona l'istruzione ASN Match AWS WAF determina l'ASN di una richiesta in base al relativo indirizzo IP. Per impostazione predefinita, AWS WAF utilizza l'indirizzo IP dell'origine della richiesta Web. È possibile AWS WAF configurare l'utilizzo di un indirizzo IP da un'intestazione di richiesta alternativa, ad esempio `X-Forwarded-For` abilitando la configurazione IP inoltrata nelle impostazioni della dichiarazione delle regole. L'istruzione ASN match confronta l'ASN della richiesta con l'elenco specificato nella regola. ASNs Se l'ASN corrisponde a uno nell'elenco, l'istruzione restituisce true e viene applicata l'azione associata alla regola. ### Gestione non mappata ASNs Se AWS WAF non riesce a determinare un ASN per un indirizzo IP valido, assegna ASN 0. Puoi includere ASN 0 nella tua regola per gestire questi casi in modo esplicito. ### Comportamento di riserva per indirizzi IP non validi Quando configuri l'istruzione ASN Match per utilizzare gli indirizzi IP inoltrati, puoi specificare un comportamento di fallback di *Match o *No match** per le richieste con indirizzi IP non validi o mancanti nell'intestazione designata. ## Caratteristiche della dichiarazione delle regole **Nestable**: puoi annidare questo tipo di istruzione. **WCUs**— 1 WCU Questa dichiarazione utilizza le seguenti impostazioni: + **Elenco ASN**: una matrice di numeri ASN da confrontare per una corrispondenza ASN. I valori validi sono compresi tra 0 e 4294967295. È possibile specificare fino a 100 ASNs per ogni regola. + **(Facoltativo) Configurazione IP inoltrata**: per impostazione predefinita, AWS WAF utilizza l'indirizzo IP nell'origine della richiesta Web per determinare l'ASN. In alternativa, puoi configurare la regola per utilizzare un IP inoltrato in un'intestazione HTTP come invece. `X-Forwarded-For` Specificate se utilizzare il primo, l'ultimo o qualsiasi indirizzo nell'intestazione. Con questa configurazione, specificate anche un comportamento di fallback da applicare a una richiesta web con un indirizzo IP non valido nell'intestazione. Il comportamento di fallback imposta il risultato corrispondente per la richiesta, in modo che corrisponda o non corrisponda. Per ulteriori informazioni, vedere [Utilizzo degli indirizzi IP inoltrati.](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-forwarded-ip-address.html) ## Dove trovare questa dichiarazione sulle regole + **Generatore di regole** sulla console: per l'**opzione Request**, scegli **Origines from ASN** in. + **API — [AsnMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_AsnMatchStatement.html)** ## Esempi Questo esempio blocca le richieste provenienti da due specifiche ASNs derivate da un'`X-Forwarded-For`intestazione. Se l'indirizzo IP nell'intestazione non è corretto, il comportamento di fallback configurato è. `NO_MATCH` ``` { "Action": { "Block": {} }, "Name": "AsnMatchStatementRule", "Priority": 1, "Statement": { "AsnMatchStatement": { "AsnList": [64496, 64500] }, "ForwardedIPConfig": { "FallbackBehavior": "NO_MATCH", "HeaderName": "X-Forwarded-For" } }, "VisibilityConfig": { "CloudWatchMetricsEnabled": true, "MetricName": "AsnMatchRuleMetrics", "SampledRequestsEnabled": true } }, "VisibilityConfig": { "CloudWatchMetricsEnabled": true, "MetricName": "WebAclMetrics", "SampledRequestsEnabled": true } } ``` # Dichiarazione della regola di corrispondenza delle etichette corrispondenza dell'etichetta Questa sezione spiega cos'è un'istruzione label match e come funziona. L'istruzione label match controlla le etichette presenti sulla richiesta Web rispetto a una specifica di stringa. Le etichette disponibili per l'ispezione di una regola sono quelle che sono già state aggiunte alla richiesta Web da altre regole incluse nella stessa valutazione del Protection Pack (Web ACL). Le etichette non persistono al di fuori della valutazione del Protection Pack (Web ACL), ma è possibile accedere alle metriche delle etichette CloudWatch e visualizzare i riepiloghi delle informazioni sulle etichette per qualsiasi Protection Pack (Web ACL) nella console. AWS WAF Per ulteriori informazioni, consultare [Metriche e dimensioni delle etichette](waf-metrics.md#waf-metrics-label) e [Monitoraggio e ottimizzazione delle protezioni AWS WAF](web-acl-testing-activities.md). È inoltre possibile visualizzare le etichette nei log. Per informazioni, consulta [Campi di registro per il traffico del Protection Pack (Web ACL)](logging-fields.md). **Nota** Un'istruzione label match può visualizzare solo le etichette delle regole valutate in precedenza nel Protection Pack (Web ACL). Per informazioni su come AWS WAF valuta le regole e i gruppi di regole in un protection pack (Web ACL), vedere. [Impostazione della priorità delle regole](web-acl-processing-order.md) Per ulteriori informazioni sull'aggiunta e la corrispondenza delle etichette, vedere. [Etichettatura delle richieste Web in AWS WAF](waf-labels.md) ## Caratteristiche della dichiarazione delle regole **Nestable**: puoi annidare questo tipo di istruzione. **WCUs**— 1 WCU Questa dichiarazione utilizza le seguenti impostazioni: + **Ambito di corrispondenza**: impostalo su **Label** in modo che corrisponda al nome dell'etichetta e, facoltativamente, ai namespace e al prefisso precedenti. Impostalo su **Namespace** in modo che corrisponda ad alcune o tutte le specifiche del namespace e, facoltativamente, al prefisso precedente. + **Chiave: la** stringa con cui vuoi confrontare. Se specificate un ambito di corrispondenza dello spazio dei nomi, questo dovrebbe specificare solo gli spazi dei nomi e, facoltativamente, il prefisso, con i due punti finali. Se si specifica un ambito di corrispondenza dell'etichetta, questo deve includere il nome dell'etichetta e, facoltativamente, i namespace e il prefisso precedenti. Per informazioni su queste impostazioni, consulta [AWS WAF regole che corrispondono alle etichette](waf-rule-label-match.md) e [AWS WAF esempi di abbinamento delle etichette](waf-rule-label-match-examples.md). ## Dove trovare questa dichiarazione sulla regola + **Generatore di regole** sulla console: per l'**opzione Request**, scegli **Ha etichetta**. + **API**: [LabelMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_LabelMatchStatement.html) # Dichiarazione della regola Regex Match Corrispondenza RegexÈ stata aggiunta l'istruzione regex match Ora puoi abbinare le richieste web a una singola espressione regolare. Questa sezione spiega cos'è un'istruzione regex match e come funziona. Un'istruzione regex match indica di abbinare un componente di richiesta AWS WAF a una singola espressione regolare (regex). Una richiesta web corrisponde all'istruzione se il componente della richiesta corrisponde all'espressione regolare specificata. Questo tipo di istruzione è una buona alternativa alle [Istruzione regola di corrispondenza del set del modello regex](waf-rule-statement-type-regex-pattern-set-match.md) situazioni in cui si desidera combinare i criteri di corrispondenza utilizzando la logica matematica. Ad esempio, se desideri che un componente di richiesta corrisponda ad alcuni modelli regex e non corrisponda ad altri, puoi combinare le istruzioni regex match utilizzando and the[ANDdichiarazione delle regole](waf-rule-statement-type-and.md). [NOTdichiarazione delle regole](waf-rule-statement-type-not.md) AWS WAF supporta la sintassi del pattern utilizzata dalla libreria `libpcre` PCRE con alcune eccezioni. La libreria è documentata in [PCRE -](http://www.pcre.org/) Perl Compatible Regular Expressions. Per informazioni sul AWS WAF supporto, vedere. [Sintassi delle espressioni regolari supportata in AWS WAF](waf-regex-pattern-support.md) ## Caratteristiche della dichiarazione delle regole **Nestable**: puoi annidare questo tipo di istruzione. **WCUs**— 3 WCUs, come costo base. Se si utilizza il componente di richiesta **Tutti i parametri di interrogazione**, aggiungere 10 WCUs. Se utilizzi il **corpo JSON** del componente di richiesta, raddoppia il costo WCUs base. Per ogni **trasformazione di testo** che applichi, aggiungi 10 WCUs. Questo tipo di istruzione funziona su un componente di richiesta Web e richiede le seguenti impostazioni del componente di richiesta: + **Componente di richiesta**: la parte della richiesta Web per ispezionare, ad esempio, una stringa di query o il corpo. **avvertimento** Se ispezionate i componenti della richiesta **Body**, **JSON body**, **Headers** o **Cookies**, leggete le limitazioni relative alla quantità di contenuto AWS WAF che può essere ispezionata. [Componenti di richiesta Web di grandi dimensioni in AWS WAF](waf-oversize-request-components.md) Per informazioni sui componenti della richiesta Web, consulta. [Regolazione delle impostazioni delle istruzioni delle regole in AWS WAF](waf-rule-statement-fields.md) + **Trasformazioni di testo opzionali**: trasformazioni che si desidera AWS WAF eseguire sul componente della richiesta prima di esaminarlo. Ad esempio, potete trasformare in lettere minuscole o normalizzare lo spazio bianco. Se specificate più di una trasformazione, le AWS WAF elabora nell'ordine elencato. Per informazioni, consulta [Utilizzo delle trasformazioni di testo in AWS WAF](waf-rule-statement-transformation.md). ## Dove trovare questa dichiarazione di regole + **Generatore di regole** sulla console: per il **tipo Match**, scegli **l'espressione regolare Matches**. + **API**: [RegexMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RegexMatchStatement.html) # Istruzione regola di corrispondenza del set del modello regex Set del modello regex Questa sezione spiega cos'è un'istruzione regex pattern set match e come funziona. La corrispondenza del set del modello regex controlla la parte della richiesta Web specificata per i modelli di espressioni regolari specificati all'interno di un set del modello regex. AWS WAF supporta la sintassi del pattern utilizzata dalla libreria PCRE `libpcre` con alcune eccezioni. La libreria è documentata in [PCRE -](http://www.pcre.org/) Perl Compatible Regular Expressions. Per informazioni sul AWS WAF supporto, vedere. [Sintassi delle espressioni regolari supportata in AWS WAF](waf-regex-pattern-support.md) **Nota** Ogni regola di corrispondenza del set del modello regex fa riferimento a un set del modello regex, che viene creato e mantenuto indipendentemente dalle regole. È possibile utilizzare un singolo pattern regex impostato in più regole e, quando si aggiorna il set di riferimento, AWS WAF vengono aggiornate automaticamente tutte le regole che vi fanno riferimento. Per informazioni sulla creazione e la gestione di un set del modello regex, consulta [Creazione e gestione di un pattern regex impostato in AWS WAF](waf-regex-pattern-set-managing.md). Un'istruzione regex pattern set match indica di AWS WAF cercare uno qualsiasi dei modelli nel set all'interno del componente di richiesta scelto. Una richiesta Web corrisponderà all'istruzione regola del set del modello se il componente della richiesta corrisponde a uno qualsiasi dei modelli nel set. Se desideri combinare le corrispondenze dei tuoi pattern regex usando la logica, ad esempio per abbinarle ad alcune espressioni regolari e non ad altre, prendi in considerazione l'utilizzo. [Dichiarazione della regola Regex Match](waf-rule-statement-type-regex-match.md) ## Caratteristiche della dichiarazione delle regole **Nestable**: puoi annidare questo tipo di istruzione. **WCUs**— 25 WCUs, come costo base. Se si utilizza il componente di richiesta **Tutti i parametri di interrogazione**, aggiungere 10 WCUs. Se utilizzi il **corpo JSON** del componente di richiesta, raddoppia il costo WCUs base. Per ogni **trasformazione di testo** che applichi, aggiungi 10 WCUs. Questo tipo di istruzione funziona su un componente di richiesta Web e richiede le seguenti impostazioni del componente di richiesta: + **Componente di richiesta**: la parte della richiesta Web per ispezionare, ad esempio, una stringa di query o il corpo. **avvertimento** Se ispezionate i componenti della richiesta **Body**, **JSON body**, **Headers** o **Cookies**, leggete le limitazioni relative alla quantità di contenuto AWS WAF che può essere ispezionata. [Componenti di richiesta Web di grandi dimensioni in AWS WAF](waf-oversize-request-components.md) Per informazioni sui componenti della richiesta Web, consulta. [Regolazione delle impostazioni delle istruzioni delle regole in AWS WAF](waf-rule-statement-fields.md) + **Trasformazioni di testo opzionali**: trasformazioni che si desidera AWS WAF eseguire sul componente della richiesta prima di esaminarlo. Ad esempio, potete trasformare in lettere minuscole o normalizzare lo spazio bianco. Se specificate più di una trasformazione, le AWS WAF elabora nell'ordine elencato. Per informazioni, consulta [Utilizzo delle trasformazioni di testo in AWS WAF](waf-rule-statement-transformation.md). Questa istruzione richiede le seguenti impostazioni: + Specificazione del set di pattern Regex: scegli il set di pattern regex che desideri utilizzare dall'elenco o creane uno nuovo. ## Dove trovare questa dichiarazione di regole + **Generatore di regole** sulla console: per il **tipo Match**, scegli **String match condition** > **Matches pattern dal set di espressioni regolari**. + **API** — [RegexPatternSetReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RegexPatternSetReferenceStatement.html) # Istruzione regola vincolo di dimensioni Vincolo di dimensioni Questa sezione spiega cos'è una dichiarazione di vincolo di dimensione e come funziona. Un'istruzione con vincolo di dimensione confronta il numero di byte AWS WAF ricevuto per un componente di richiesta Web con un numero fornito dall'utente e corrisponde in base ai criteri di confronto. Il criterio di confronto è un operatore come maggiore di (>) o minore di (<). Ad esempio, è possibile eseguire la corrispondenza su richieste che contengono una stringa di query con una dimensione superiore a 100 byte. Se controllate il percorso URI, qualsiasi elemento `/` nel percorso conta come un carattere. Ad esempio, il percorso URI `/logo.jpg` è lungo nove caratteri. **Nota** Questa istruzione controlla solo la dimensione del componente di richiesta web. Non ispeziona il contenuto del componente. ## Caratteristiche della dichiarazione delle regole **Nestable**: puoi annidare questo tipo di istruzione. **WCUs**— 1 WCU, come costo base. Se si utilizza il componente di richiesta **Tutti i parametri di interrogazione**, aggiungere 10. WCUs Se utilizzi il **corpo JSON** del componente di richiesta, raddoppia il costo WCUs base. Per ogni **trasformazione di testo** che applichi, aggiungi 10 WCUs. Questo tipo di istruzione funziona su un componente di richiesta Web e richiede le seguenti impostazioni del componente di richiesta: + **Componente di richiesta**: la parte della richiesta Web per ispezionare, ad esempio, una stringa di query o il corpo. Per informazioni sui componenti della richiesta Web, vedere[Regolazione delle impostazioni delle istruzioni delle regole in AWS WAF](waf-rule-statement-fields.md). Una dichiarazione di vincolo di dimensione controlla solo la dimensione del componente dopo l'applicazione di eventuali trasformazioni. Non ispeziona il contenuto del componente. + **Trasformazioni di testo opzionali**: trasformazioni che si desidera AWS WAF eseguire sul componente richiesto prima di controllarne le dimensioni. Ad esempio, potete comprimere gli spazi bianchi o decodificare le entità HTML. Se specificate più di una trasformazione, le AWS WAF elabora nell'ordine elencato. Per informazioni, consulta [Utilizzo delle trasformazioni di testo in AWS WAF](waf-rule-statement-transformation.md). Inoltre, questa istruzione richiede le seguenti impostazioni: + **Condizione di corrispondenza delle dimensioni**: indica l'operatore di confronto numerico da utilizzare per confrontare la dimensione fornita con il componente di richiesta che hai scelto. Scegli l'operatore dall'elenco. + **Dimensione**: l'impostazione della dimensione, in byte, da utilizzare nel confronto. ## Dove trovare questa dichiarazione sulle regole + **Generatore di regole** sulla console: per il **tipo Match**, **nella condizione Size match**, scegli la condizione che desideri utilizzare. + **API**: [SizeConstraintStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_SizeConstraintStatement.html) # Istruzione regola attacco SQL Injection SQLiattaccoOpzione del livello di sensibilità per la dichiarazione delle SQLi regole È ora possibile aumentare la sensibilità delle istruzioni delle regole di iniezione SQL. Ciò non modifica il comportamento delle istruzioni esistenti, il cui livello di sensibilità è predefinito diLOW. Questa sezione spiega cos'è un'istruzione di regole di iniezione SQL e come funziona. Un'istruzione di regole di iniezione SQL verifica la presenza di codice SQL dannoso. Gli aggressori inseriscono codice SQL dannoso nelle richieste Web per eseguire operazioni come modificare il database o estrarre dati da esso. ## Caratteristiche della dichiarazione delle regole **Nestable**: puoi annidare questo tipo di istruzione. **WCUs**— Il costo base dipende dall'impostazione del livello di sensibilità per l'istruzione della regola: Low costa 20 e High costa 30. Se si utilizza il componente di richiesta **Tutti i parametri di interrogazione**, aggiungere 10 WCUs. Se utilizzi il **corpo JSON** del componente di richiesta, raddoppia il costo WCUs base. Per ogni **trasformazione di testo** che applichi, aggiungi 10 WCUs. Questo tipo di istruzione funziona su un componente di richiesta Web e richiede le seguenti impostazioni del componente di richiesta: + **Componente di richiesta**: la parte della richiesta Web per ispezionare, ad esempio, una stringa di query o il corpo. **avvertimento** Se ispezionate i componenti della richiesta **Body**, **JSON body**, **Headers** o **Cookies**, leggete le limitazioni relative alla quantità di contenuto AWS WAF che può essere ispezionata. [Componenti di richiesta Web di grandi dimensioni in AWS WAF](waf-oversize-request-components.md) Per informazioni sui componenti della richiesta Web, consulta. [Regolazione delle impostazioni delle istruzioni delle regole in AWS WAF](waf-rule-statement-fields.md) + **Trasformazioni di testo opzionali**: trasformazioni che si desidera AWS WAF eseguire sul componente della richiesta prima di esaminarlo. Ad esempio, potete trasformare in lettere minuscole o normalizzare lo spazio bianco. Se specificate più di una trasformazione, le AWS WAF elabora nell'ordine elencato. Per informazioni, consulta [Utilizzo delle trasformazioni di testo in AWS WAF](waf-rule-statement-transformation.md). Inoltre, questa dichiarazione richiede la seguente impostazione: + **Livello di sensibilità**: questa impostazione regola la sensibilità dei criteri di corrispondenza dell'iniezione SQL. Le opzioni sono LOW e HIGH. L'impostazione predefinita è LOW. L'HIGHimpostazione rileva più attacchi di SQL injection ed è l'impostazione consigliata. A causa della maggiore sensibilità, questa impostazione genera un numero maggiore di falsi positivi, soprattutto se le richieste Web contengono in genere stringhe insolite. Durante il test e l'ottimizzazione del Protection Pack (Web ACL), potrebbe essere necessario lavorare di più per mitigare i falsi positivi. Per informazioni, consulta [Test e ottimizzazione delle protezioni AWS WAF](web-acl-testing.md). L'impostazione inferiore fornisce un rilevamento delle SQL injection meno rigoroso, che comporta anche un minor numero di falsi positivi. LOWpuò essere una scelta migliore per le risorse che dispongono di altre protezioni contro gli attacchi di SQL injection o che hanno una bassa tolleranza per i falsi positivi. ## Dove trovare questa dichiarazione di regole + **Generatore di regole** sulla console: per il **tipo Match**, scegli **Attack match condition** > **Contiene attacchi SQL injection**. + **API** — [SqliMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_SqliMatchStatement.html) # Istruzione regola di corrispondenza stringa Corrispondenza stringa Questa sezione spiega cos'è un'istruzione string match e come funziona. Un'istruzione String Match indica la stringa che si AWS WAF desidera cercare in una richiesta, la posizione della richiesta in cui effettuare la ricerca e come. Ad esempio, puoi cercare una stringa specifica all'inizio di qualsiasi stringa di query nella richiesta o come una corrispondenza esatta per l'intestazione `User-agent` della richiesta. In genere, la stringa è costituita da caratteri ASCII stampabili, ma puoi utilizzare qualsiasi carattere esadecimale da 0x00 a 0xFF (decimale da 0 a 255). ## Caratteristiche della dichiarazione delle regole **Nestable**: puoi annidare questo tipo di istruzione. **WCUs**— Il costo base dipende dal tipo di fiammifero utilizzato. + **Corrisponde esattamente alla stringa** — 2 + **Inizia con string** — 2 + **Termina con una stringa** — 2 + **Contiene una stringa** — 10 + **Contiene la parola** — 10 Se si utilizza il componente di richiesta **Tutti i parametri di interrogazione**, aggiungere 10 WCUs. Se utilizzi il **corpo JSON** del componente di richiesta, raddoppia il costo WCUs base. Per ogni **trasformazione di testo** che applichi, aggiungi 10 WCUs. Questo tipo di istruzione funziona su un componente di richiesta Web e richiede le seguenti impostazioni del componente di richiesta: + **Componente di richiesta**: la parte della richiesta Web per ispezionare, ad esempio, una stringa di query o il corpo. **avvertimento** Se ispezionate i componenti della richiesta **Body**, **JSON body**, **Headers** o **Cookies**, leggete le limitazioni relative alla quantità di contenuto AWS WAF che può essere ispezionata. [Componenti di richiesta Web di grandi dimensioni in AWS WAF](waf-oversize-request-components.md) Per informazioni sui componenti della richiesta Web, consulta. [Regolazione delle impostazioni delle istruzioni delle regole in AWS WAF](waf-rule-statement-fields.md) + **Trasformazioni di testo opzionali**: trasformazioni che si desidera AWS WAF eseguire sul componente della richiesta prima di esaminarlo. Ad esempio, potete trasformare in lettere minuscole o normalizzare lo spazio bianco. Se specificate più di una trasformazione, le AWS WAF elabora nell'ordine elencato. Per informazioni, consulta [Utilizzo delle trasformazioni di testo in AWS WAF](waf-rule-statement-transformation.md). Inoltre, questa istruzione richiede le seguenti impostazioni: + **Stringa da abbinare**: questa è la stringa che AWS WAF desideri confrontare con il componente di richiesta specificato. In genere, la stringa è costituita da caratteri ASCII stampabili, ma puoi utilizzare qualsiasi carattere esadecimale da 0x00 a 0xFF (decimale da 0 a 255). + **Condizione di corrispondenza della stringa**: indica il tipo di ricerca che si AWS WAF desidera eseguire. + **Corrisponde esattamente alla stringa**: la stringa e il valore del componente di richiesta sono identici. + **Inizia con una stringa**: la stringa viene visualizzata all'inizio del componente di richiesta. + **Termina con una stringa**: la stringa viene visualizzata alla fine del componente di richiesta. + **Contiene una stringa**: la stringa viene visualizzata in qualsiasi punto del componente della richiesta. + **Contiene una parola**: la stringa specificata deve apparire nel componente di richiesta. Per questa opzione, le stringhe specificate devono contenere solo caratteri alfanumerici o di sottolineatura (A-Z, a-z, 0-9 o \$1). Una delle seguenti condizioni deve essere vera perché la richiesta corrisponda: + La stringa corrisponde esattamente al valore del componente di richiesta, ad esempio il valore di un'intestazione. + La stringa si trova all'inizio del componente di richiesta ed è seguita da un carattere diverso da un carattere alfanumerico o un carattere di sottolineatura (\$1), ad esempio, `BadBot;`. + La stringa si trova al termine del componente di richiesta ed è preceduta da un carattere diverso da un carattere alfanumerico o un carattere di sottolineatura (\$1), ad esempio, `;BadBot`. + La stringa si trova al centro del componente di richiesta ed è preceduta e seguita da caratteri diversi da caratteri alfanumerici o caratteri di sottolineatura (\$1), ad esempio, `-BadBot;`. ## Dove trovare questa dichiarazione sulla regola + **Generatore di regole** sulla console: per il **tipo di partita**, scegli **String match condition**, quindi inserisci le stringhe con cui vuoi abbinare. + **API: [ByteMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_ByteMatchStatement.html)** # Istruzione regola di attacco di Cross-site scripting Attacco XSS Scripting Questa sezione spiega cos'è un'istruzione di attacco XSS (cross-site scripting) e come funziona. Un'istruzione di attacco XSS verifica la presenza di script dannosi in un componente di richiesta Web. In un attacco XSS, l'aggressore sfrutta le vulnerabilità di un sito Web innocuo come veicolo per iniettare script dannosi del sito client in altri browser Web legittimi. ## Caratteristiche della dichiarazione delle regole **Nestable**: puoi annidare questo tipo di istruzione. **WCUs**— 40 WCUs, come costo base. Se si utilizza il componente di richiesta **Tutti i parametri di interrogazione**, aggiungere 10 WCUs. Se utilizzi il **corpo JSON** del componente di richiesta, raddoppia il costo WCUs base. Per ogni **trasformazione di testo** che applichi, aggiungi 10 WCUs. Questo tipo di istruzione funziona su un componente di richiesta Web e richiede le seguenti impostazioni del componente di richiesta: + **Componente di richiesta**: la parte della richiesta Web per ispezionare, ad esempio, una stringa di query o il corpo. **avvertimento** Se ispezionate i componenti della richiesta **Body**, **JSON body**, **Headers** o **Cookies**, leggete le limitazioni relative alla quantità di contenuto AWS WAF che può essere ispezionata. [Componenti di richiesta Web di grandi dimensioni in AWS WAF](waf-oversize-request-components.md) Per informazioni sui componenti della richiesta Web, consulta. [Regolazione delle impostazioni delle istruzioni delle regole in AWS WAF](waf-rule-statement-fields.md) + **Trasformazioni di testo opzionali**: trasformazioni che si desidera AWS WAF eseguire sul componente della richiesta prima di esaminarlo. Ad esempio, potete trasformare in lettere minuscole o normalizzare lo spazio bianco. Se specificate più di una trasformazione, le AWS WAF elabora nell'ordine elencato. Per informazioni, consulta [Utilizzo delle trasformazioni di testo in AWS WAF](waf-rule-statement-transformation.md). ## Dove trovare questa dichiarazione di regole + **Generatore di regole** sulla console: per il **tipo Match**, scegli **Attack match condition** > **Contiene attacchi di iniezione XSS**. + **API — [XssMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_XssMatchStatement.html)**