**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 跨網站指令碼攻擊規則陳述式
<a name="waf-rule-statement-type-xss-match"></a>

本節說明什麼是 XSS （跨網站指令碼） 攻擊陳述式及其運作方式。

XSS 攻擊陳述式會檢查 Web 請求元件中是否有惡意指令碼。在 XSS 攻擊中，攻擊者會使用良性網站中的漏洞做為工具，將惡意用戶端網站指令碼注入其他合法的 Web 瀏覽器。

## 規則陳述式特性
<a name="xss-match-characteristics"></a>

**可巢狀** – 您可以巢狀此陳述式類型。

**WCUs** – 40 WCUs，作為基本成本。如果您使用請求元件 **所有查詢參數**，請新增 10 WCUs。如果您使用請求元件 **JSON 內文**，請將基本成本 WCUs加倍。針對您套用的每個**文字轉換**，新增 10 WCUs。

此陳述式類型在 Web 請求元件上運作，且需要下列請求元件設定：
+ **請求元件** – 要檢查的 Web 請求部分，例如查詢字串或內文。
**警告**  
如果您檢查請求元件**內**文、**JSON 內文**、**標頭**或 **Cookie**，請閱讀有關 AWS WAF 可檢查多少內容的限制[在 中過大 Web 請求元件 AWS WAF](waf-oversize-request-components.md)。

  如需 Web 請求元件的詳細資訊，請參閱 [在 中調整規則陳述式設定 AWS WAF](waf-rule-statement-fields.md)。
+ **選用文字轉換** – AWS WAF 您想要在檢查請求元件之前對請求元件執行的轉換。例如，您可以將 轉換為小寫或標準化空格。如果您指定多個轉換， 會依列出的順序 AWS WAF 處理它們。如需相關資訊，請參閱[在 中使用文字轉換 AWS WAF](waf-rule-statement-transformation.md)。

## 尋找此規則陳述式的位置
<a name="xss-match-where-to-find"></a>
+ 主控台上的**規則建置器** – 針對**相符類型**，選擇**攻擊比對條件** > **包含 XSS 注入攻擊**。
+ **API** – [XssMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_XssMatchStatement.html)