更新时间:2024-03-11 GMT+08:00
配置网页防篡改规则避免静态网页被篡改
网站接入WAF后,您可以通过设置网页防篡改规则,锁定需要保护的网站页面(例如敏感页面)。当被锁定的页面在收到请求时,返回已设置的缓存页面,预防源站页面内容被恶意篡改。
如果您已开通企业项目,您需要在“企业项目”下拉列表中选择您所在的企业项目并确保已开通操作权限,才能为该企业项目下域名配置防护策略。
工作原理
- 当WAF接收到正常的访问请求时,直接将缓存的网页返回给Web访问者,加速请求响应。
- 如果攻击者篡改了网站的静态网页,WAF将缓存的未被篡改的网页返回给Web访问者,保证Web访问者访问的是正确的页面。
- WAF将对页面路径下的所有相关资源进行防护。例如,对“www.example.com/index.html”静态页面配置了网页防篡改规则,则WAF将防护“/index.html”的网页以及这个网页关联的相关资源。
即若请求中Referer请求头的值中的URL路径与您配置的防篡改路径一致,如“/index.html” ,则该请求命中的资源(结尾为png、jpg、 jpeg、gif、bmp、css、js的所有资源)也会同时被缓存下来。
前提条件
已添加防护网站或已新增防护策略。
约束条件
- 添加或修改防护规则后,规则生效需要几分钟。规则生效后,您可以在“防护事件”页面查看防护效果。
- 请确保源站响应中包括Content-Type响应头,否则可能导致WAF无法缓存源站响应。
应用场景
操作步骤
- 登录管理控制台。
- 单击管理控制台左上角的,选择区域或项目。
- 单击页面左上方的,选择 。
- 在左侧导航树中,选择“防护策略”,进入“防护策略”页面。
- 单击目标策略名称,进入目标策略的防护配置页面。
- 在“网页防篡改”配置框中,用户可根据自己的需要更改“状态”,单击“自定义网页防篡改”,进入网页防篡改规则的配置页面。
- 在“网页防篡改”规则配置列表的左上方,单击“添加规则”。
- 在弹出的对话框中,添加网页防篡改规则,参数说明如表1所示。
- 单击“确认”,添加的网页防篡改规则展示在网页防篡改规则列表中。
相关操作
- 规则添加成功后,默认的“规则状态”为“已开启”,若您暂时不想使该规则生效,可在目标规则所在行的“操作”列,单击“关闭”。
- 若被防护页面进行了内容修改,必须单击待更新的网页防篡改规则所在行的“更新缓存”来更新缓存,如果您在页面更新后未更新缓存,WAF将始终返回最近一次缓存的页面内容。
- 若需要删除添加的网页防篡改规则时,可单击待删除的网页防篡改规则所在行的“删除”,删除网页防篡改规则。
配置示例-静态页面防篡改
假如防护域名“www.example.com”已接入WAF,“/admin”静态页面已被篡改,您可以参照以下操作步骤验证防护效果。
- 在浏览器中访问“http://www.example.com/admin”静态页面。
此时,显示的是被篡改的页面。
图1 静态页面被篡改示例
- 添加一条网页防篡改规则。
- 开启网页防篡改。
- 在浏览器中访问“http://www.example.com/admin”, 等待WAF缓存静态页面。
- 在浏览器中访问篡改后的页面。
此时,显示的是被篡改前的页面。
父主题: 防护策略