配置隐私屏蔽规则防隐私信息泄露

前提条件

• 已将网站成功接入WAF。
• 已新增防护策略，并添加策略适用的防护域名。
• 如果使用独享WAF，确保独享引擎已升级到最新版本，具体的操作请参见升级独享引擎实例。

约束条件

入门版不支持该功能。

添加或修改防护规则后，规则生效需要几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。

系统影响

配置隐私屏蔽规则后，防护事件中将屏蔽敏感数据，防止用户隐私泄露。

配置隐私屏蔽规则

1. 登录Web应用防火墙控制台。
2. 在控制台左上角，单击图标，选择区域或项目。
3. (可选) 如果您已开通企业项目，在左侧导航栏上方，单击“按企业项目筛选”下拉框，选择您所在的企业项目。完成后，页面将为您展示该企业项目下的相关数据。
4. 在左侧导航栏，单击“防护策略”。
5. 单击目标策略名称，进入目标策略的防护规则配置页面。

   在配置防护规则前，请确认目标防护策略已绑定防护域名，即绑定策略生效目标。一条防护策略可以适用于多个防护域名，但一个防护域名只能绑定一个防护策略。

6. 单击“隐私屏蔽”配置框，确认已开启隐私屏蔽防护规则。

   ：开启状态。

7. 在“隐私屏蔽”规则配置列表的左上方，单击“添加规则”。
8. 添加隐私屏蔽规则，根据表1配置参数。
   图1 添加隐私屏蔽规则
   

   表1 添加隐私屏蔽规则参数说明

   参数	参数说明	取值样例
   路径	填写要进行隐私屏蔽的完整URL链接。 路径不包含域名。例如：需要防护的URL为“http://www.example.com/admin”，则“路径”设置为“/admin”。 路径支持前缀匹配、精准匹配。 前缀匹配：填写的路径前缀与需要防护的路径相同即可。 如果防护路径为“/admin”，该规则填写为“/admin*”。 精准匹配：填写的路径与需要防护的路径完全相等。 如果防护路径为“/admin”，该规则必须填写为“/admin”。 路径不支持正则表达。 路径里不能含有多条斜线的配置，例如路径为“///admin”，访问时，引擎会将“///”转为“/”。	/admin
   屏蔽字段	设置为屏蔽的字段。 Params：请求参数。 Cookie：根据Cookie区分的Web访问者。 Header：自定义HTTP首部。 Form：表单参数。	Params
   屏蔽字段名	根据“屏蔽字段”设置字段名，被屏蔽的字段将不会出现在日志中。例如，“屏蔽字段”为“Params”时，根据实际使用需求设置屏蔽字段名为“id”。设置后，与“id”匹配的内容将被屏蔽。	id
   规则描述	可选参数，设置该规则的备注信息。	--

9. 单击“确定”，添加的隐私屏蔽规则展示在隐私屏蔽规则列表中。

   完成以上配置后，您还可以执行以下操作：

   • 查看规则状态：在防护规则列表，查看已添加的规则。此时，“规则状态”默认为“已开启”。
   • 关闭规则：如果您暂时不想使该规则生效，可在目标规则“操作”列，单击“关闭”。
   • 删除或修改规则：您也可以在目标规则“操作”列，单击“删除”或“修改”，删除或修改已添加的防护规则。
   • 验证防护效果：
     1. 清理浏览器缓存，在浏览器中访问“http://www.example.com/admin”页面，正常情况下，“/admin”路径下，已配置的jsessionid Cookie字段被屏蔽。
     2. 在“防护事件”页面，查看防护日志。

配置示例：屏蔽Cookie字段

假如防护域名“www.example.com”已接入WAF，您可以参照以下操作步骤验证防护效果。

屏蔽Cookie字段名“jsessionid”。

1. 添加一条隐私屏蔽规则。
   图2 添加“jsessionid”字段名隐私屏蔽规则
   

2. 开启隐私屏蔽。
   图3 隐私屏蔽配置框
   

3. 在左侧导航树中，单击“防护事件”，进入“防护事件”页面。
4. 在目标防护事件所在行的“操作”列中，单击“详情”，查看事件详细信息。

   该防护事件的Cookie字段名“jsessionid”信息被屏蔽。

   图4 查看防护事件-隐私屏蔽