配置防敏感信息泄露规则避免敏感信息泄露

您可以添加两种类型的防敏感信息泄露规则：

敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏蔽处理，防止用户的敏感信息（身份证号、电话号码（11位中国的手机号码）、电子邮箱）泄露。
响应码拦截。配置后可拦截指定的HTTP响应码页面。

前提条件

已添加防护网站或已新增防护策略。

云模式-CNAME接入的接入方式参见通过云模式-CNAME接入将网站接入WAF章节。
独享模式的接入方式参见通过独享模式接入将网站接入WAF章节。

约束条件

云模式的入门版、标准版，以及云模式-ELB接入不支持该防护规则。
添加或修改防护规则后，规则生效需要几分钟。规则生效后，您可以在“防护事件”页面查看防护效果。

配置防敏感信息泄露规则

登录Web应用防火墙控制台。
在控制台左上角，单击图标，选择区域或项目。
(可选) 如果您已开通企业项目，在左侧导航栏上方，单击“按企业项目筛选”下拉框，选择您所在的企业项目。完成后，页面将为您展示该企业项目下的相关数据。
在左侧导航栏，单击“防护策略”。
单击目标策略名称，进入目标策略的防护规则配置页面。

在配置防护规则前，请确认目标防护策略已绑定防护域名，即绑定策略生效目标。一条防护策略可以适用于多个防护域名，但一个防护域名只能绑定一个防护策略。
单击“防敏感信息泄露”配置框，开启防敏感信息泄露防护规则。

：开启状态。
在“防敏感信息泄露”规则配置列表的左上方，单击“添加规则”。

在弹出的对话框，添加防敏感信息泄露规则，如图1和图2所示，参数说明如表1所示。

“防敏感信息泄露”规则既能防止用户的敏感信息（例如：身份证号、电话号码、电子邮箱等）泄露，也能够拦截指定的HTTP响应码页面。

敏感信息过滤：针对网站页面中可能存在的电话号码和身份证等敏感信息，配置相应的规则对其进行屏蔽处理。例如，您可以通过设置以下防护规则，屏蔽身份证号、电话号码和电子邮箱敏感信息。

图1 敏感信息泄露

响应码拦截：针对特定的HTTP请求状态码，可配置规则将其拦截，避免服务器敏感信息泄露。例如，您可以通过设置以下防护规则，拦截HTTP 404、502、503状态码。

图2 响应码拦截

表1 参数说明
参数名称	参数说明	取值样例
路径	填写防敏感信息泄露的路径。路径不包含域名。例如：需要防护的URL为“http://www.example.com/admin”，则“路径”设置为“/admin”。路径支持前缀匹配、精准匹配。前缀匹配：填写的路径前缀与需要防护的路径相同即可。如果防护路径为“/admin”，该规则填写为“/admin*”。精准匹配：填写的路径与需要防护的路径完全相等。如果防护路径为“/admin”，该规则必须填写为“/admin”。路径不支持正则表达。路径里不能含有多条斜线的配置，例如路径为“///admin”，访问时，引擎会将“///”转为“/”。	/admin*
类型	选择要防护的敏感信息类型，支持敏感信息过滤、响应码拦截。敏感信息过滤：支持过滤身份证号、电话号码、电子邮箱的敏感信息。响应码拦截：支持拦截指定的HTTP响应码页面，支持400、401、402、403、404、405、500、501、502、503、504、507响应码。	敏感信息过滤
内容	选择防护内容，支持多选。 “类型”为“敏感信息过滤”时，选择要过滤的敏感信息内容：身份证号、电话号码、电子邮箱。 “类型”为“响应码拦截”时，选择要拦截的HTTP响应码：400、401、402、403、404、405、500、501、502、503、504、507。	身份证号码
防护动作	设置请求命中规则时要执行的处置动作。过滤：表示将敏感信息中部分内容替换成星号（）显示，或拦截指定的HTTP响应码页面。仅记录*：表示不拦截命中规则的请求，只通过日志记录防护信息。	过滤
规则描述	设置该规则的备注信息。	--

单击“确定”，添加的防敏感信息泄露规则展示在防敏感信息泄露规则列表中。

完成以上配置后，您还可以执行以下操作：
- 查看规则状态：在防护规则列表，查看已添加的规则。此时，“规则状态”默认为“已开启”。
- 关闭规则：如果您暂时不想使该规则生效，可在目标规则“操作”列，单击“关闭”。
- 删除或修改规则：您也可以在目标规则“操作”列，单击“删除”或“修改”，删除或修改已添加的防护规则。
- 验证防护效果：
  1. 清理浏览器缓存，在浏览器中访问“http://www.example.com/admin”页面，正常情况下，该页面的敏感信息会被屏蔽。
  2. 在“防护事件”页面，查看防护日志。