tencent cloud

文档反馈

客户端风险识别

最后更新时间:2022-06-24 10:58:28

    本文为您介绍客户端风险识别中的前端对抗功能。该功能通过客户端动态安全验证技术,对业务请求的每个客户端生成唯一 ID,检测客户端对 Web 或 H5 页面访问中可能存在机器人和恶意爬虫行为,保护网站业务安全。

    背景信息

    • 兼容性说明:前端对抗适用于网页或 H5 业务防护,通过前端对抗技术,动态生成客户端 ID 和 Token,通过检测客户端 ID 和动态 Token,完成恶意和爬虫请求识别。在特定情况下,对 POST 请求可能存在兼容性问题(响应体 content-type 内容不为:text/html,且响应体中未包含有< html >标签),导致前端动态检测异常,此时可以通过对请求路径或者响应请求进行加白处理。
    • 有感前端对抗:对符合条件的客户请求通过弹出验证码(滑块、拼图、字符比较等方式)的方式进行验证识别,区别人和工具(BOT)的访问行为,对验证失败达到一定次数的请求进行拦截处理;适用于保护网站核心接口(如购物车、支付、短信接口等)。该能力已经在 WAF 的各个模块动作处理(观察、验证码、重定向和拦截等)中集成,您可以根据实际需要进行配置使用。
    • 无感前端对抗:在对用户体验无影响的情况完成客户端行为检测,适合对用户体验要求较高的场景。无感前端对抗通过动态安全技术,对请求客户端生成客户端唯一 ID,检测客户端对 Web 或 H5 页面访问中可能存在刷量和恶意爬虫行为,您可以根据实际需要对恶意访问行为进行动作处理。
      注意:

      前端对抗技术仅适用于 Web 或 H5 环境,移动端和小程序暂不支持。

    前提条件

    • 已购买 Web 应用防火墙,并购买 BOT 行为管理扩展包
    • 完成防护域名的添加及正常接入,当前域名处于正常防护,且开启 BOT 管理规则总开关,详情请参见 快速入门
    说明:

    • 在 CLBWAF 实例添加的域名,暂时不支持开通前端对抗。
    • 在 SAASWAF 实例添加的泛域名,暂时不支持开通前端对抗。

    防护配置

    1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择配置中心 > BOT 与业务安全
    2. 在 BOT 与业务安全页面,左上角选择需要防护的域名,单击 BOT 管理
    3. 在 BOT 管理页面,单击前端对抗模块的前往配置,进入前端对页面。
    4. 在前端对抗页面,可以配置页面防调试、自动化工具识别等功能开关;配置防护路径和选择防护模式。

    字段说明

    • 开关:默认为关闭。开启后 WAF 将对域名指定的页面进行前端对抗安全防护,识别客户端请求中可能存在爬虫行为,可以对识别为爬虫行为的请求采取不同处置动作。APP 和小程序暂不适用该策略。

    • 自动化工具识别:默认开启,自动化工具识别能力,开启后辅助进行动态威胁检测。

    • 页面防调试:默认开启,为了防⽌⽤户查看⻚⾯逻辑,⻚⾯防调试功能在⽤户调⽤浏览器的开发者工具页面时,阻⽌⽤户跟踪⻚⾯逻辑。

    • 防护路径:默认为 / ,表示全站生效,设置前端对抗生效的路径,支持目录和具体 URL,支持输入多个路径,请以英文逗号隔开,最多支持5个,至少需要输入1个路径。

      注意:

      建议在需要进行防护的敏感目录下开启此防护功能。

    • 防护模式:默认为监控开关开启下,您可以设置对前端对抗模块检出的爬虫行为进行动作处理,动作类型包括:监控、验证码、重定向和拦截。

    配置白名单策略

    添加规则

    1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择配置中心 > BOT 与业务安全
    2. 在 BOT 与业务安全页面,左上角选择需要防护的域名,单击 BOT 管理
    3. 在 BOT 管理页面,单击前端对抗模块的前往配置
    4. 在前端对抗页面,单击添加规则,弹出添加白名单规则窗口。
    5. 在添加白名单规则窗口中,配置相关参数,单击确定即可。

    字段说明

    • 类型
    • 请求白名单:加白网站 URL 页面不需要进行动态安全检测。
    • 响应白名单:默认 WAF 会根据业务情况对响应页面插入 JS,可指定页面不插入 JS,提高网站兼容性。
    • 匹配条件:支持路径后缀匹配、前缀匹配、相等和包含,默认为:路径后缀匹配。
    • 匹配内容:当匹配条件为路径后缀匹配,默认给出需要加白的文件后缀名称,包括:ico、gif、bmp、htc、jpg、jpeg、png、tiff、swf、js、css、rm、rmvb、wmv、avi、mkv、mp3、mp4、ogg、wma、zip、exe、rar、eot、woff、woff2、ttf、svg。您可以根据实际情况进行修改。 输入其他匹配条件,请按照实际情况输入白名单路径。
    • 规则描述(选填):输入规则描述信息。
    • 规则开关:默认关闭,您可根据实际情况调整。

    编辑规则

    1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择配置中心 > BOT 与业务安全
    2. 在 BOT 与业务安全页面,左上角选择需要防护的域名,单击 BOT 管理
    3. 在 BOT 管理页面,单击前端对抗模块的前往配置
    4. 在前端对抗页面,选择所需规则,单击编辑,弹出编辑白名单规则窗口。
    5. 在编辑白名单规则窗口中,修改相关参数,单击确定即可。

    删除规则

    1. 登录 Web 应用防火墙控制台,在左侧导航栏中,选择配置中心 > BOT 与业务安全
    2. 在 BOT 与业务安全页面,左上角选择需要防护的域名,单击 BOT 管理
    3. 在 BOT 管理页面,单击前端对抗模块的前往配置
    4. 在前端对抗页面,选择所需规则,单击删除,弹出“确认删除”弹窗中。
    5. 在“确认删除”弹窗中,单击确定,即可删除该规则。
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持