更新时间:2026-07-03 GMT+08:00
分享

开启不插入Cookie字段的能力

如果您不希望WAF在Cookie中插入HWWAFSESTIME和HWWAFSESID字段,可开启“不插入Cookie字段”开关。但是WAF在Cookie中不插入HWWAFSESTIME和HWWAFSESID字段,将会影响CC人机验证、攻击惩罚、动态反爬虫的功能使用,建议您谨慎使用该功能。

原理介绍

WAF默认会在响应Cookie中插入HWWAFSESTIMEHWWAFSESID,用于支撑核心安全功能,即仅用于WAF内部安全逻辑,不存储用户隐私数据(例如账号、密码),符合GDPR、等保2.0等合规要求,无需担心隐私风险。
  • HWWAFSESTIME

    用于标记WAF会话的有效期,用于控制CC人机验证中的 “会话级频率限制”,防止攻击者复用旧会话绕过限制。

  • HWWAFSESID

    用户访问的唯一会话ID,用于关联同一用户的连续请求,实现 “攻击惩罚”、“动态反爬虫”。

开启不插入Cookie字段功能后,WAF将不会在响应Cookie中插入HWWAFSESTIMEHWWAFSESID。由于CC人机验证、攻击惩罚、动态反爬虫功能的核心是 “识别并跟踪同一访问主体”,而这两个Cookie是WAF实现 “会话跟踪” 的关键载体 —— 没有HWWAFSESTIME,WAF无法判断会话是否有效;没有HWWAFSESID,WAF无法区分不同访问者,导致这些功能失去数据支撑,只能默认禁用。因此,建议您谨慎开启该功能。

典型应用场景

表1 应用场景说明

是否需要开启该功能

适用场景

潜在影响

决策点

  • 业务合规要求禁止非必要Cookie
  • 纯静态网站(无用户交互)
  • 自研会话机制,避免Cookie冲突

类核心安全功能,防护能力下降

开启后需通过其他方式补充防护,如增强规则配置

  • 动态网站(有用户登录、交互)
  • 需抵御CC攻击、爬虫
  • 无Cookie使用限制

响应Cookie包含2个WAF专属字段,不影响业务

保持默认关闭,保障防护完整性

前提条件

已将网站接入WAF

操作步骤

  1. 登录Web应用防火墙控制台
  2. 在控制台左上角,单击图标,选择区域或项目。
  3. (可选) 如果您已开通企业项目,在左侧导航栏上方单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
  4. 在左侧导航栏,单击“网站设置”
  5. “网站设置”页面,单击目标网站域名。
  6. “不插入Cookie字段”列,单击,开启不插入Cookie字段。

    开启该功能后,将会影响CC人机验证、攻击惩罚、动态反爬虫的功能使用,建议您谨慎使用该功能。

    完成以上配置后,访问防护网站,按F12打开 “开发者工具”后,在“应用”页签,单击左侧导航栏“Cookie”下的当前域名,确认是否包含HWWAFSESTIMEHWWAFSESID字段。

相关操作

  • 若因合规要求需禁用所有非必要Cookie,开启该功能后,可在WAF响应头字段中添加 “Cache-Control: no-cache”,避免浏览器缓存旧Cookie。
  • 开启该功能后,建议配置针对IP的CC攻击防护规则,限制IP访问频率,弥补CC人机验证禁用后的防护缺口。

相关文档