开启不插入Cookie字段的能力
如果您不希望WAF在Cookie中插入HWWAFSESTIME和HWWAFSESID字段,可开启“不插入Cookie字段”开关。但是WAF在Cookie中不插入HWWAFSESTIME和HWWAFSESID字段,将会影响CC人机验证、攻击惩罚、动态反爬虫的功能使用,建议您谨慎使用该功能。
原理介绍
- HWWAFSESTIME
用于标记WAF会话的有效期,用于控制CC人机验证中的 “会话级频率限制”,防止攻击者复用旧会话绕过限制。
- HWWAFSESID
用户访问的唯一会话ID,用于关联同一用户的连续请求,实现 “攻击惩罚”、“动态反爬虫”。
开启不插入Cookie字段功能后,WAF将不会在响应Cookie中插入HWWAFSESTIME和HWWAFSESID。由于CC人机验证、攻击惩罚、动态反爬虫功能的核心是 “识别并跟踪同一访问主体”,而这两个Cookie是WAF实现 “会话跟踪” 的关键载体 —— 没有HWWAFSESTIME,WAF无法判断会话是否有效;没有HWWAFSESID,WAF无法区分不同访问者,导致这些功能失去数据支撑,只能默认禁用。因此,建议您谨慎开启该功能。
典型应用场景
| 是否需要开启该功能 | 适用场景 | 潜在影响 | 决策点 |
|---|---|---|---|
| 是 |
| 类核心安全功能,防护能力下降 | 开启后需通过其他方式补充防护,如增强规则配置 |
| 否 |
| 响应Cookie包含2个WAF专属字段,不影响业务 | 保持默认关闭,保障防护完整性 |
前提条件
操作步骤
- 登录Web应用防火墙控制台。
- 在控制台左上角,单击
图标,选择区域或项目。 - (可选) 如果您已开通企业项目,在左侧导航栏上方单击“按企业项目筛选”下拉框,选择您所在的企业项目。完成后,页面将为您展示该企业项目下的相关数据。
- 在左侧导航栏,单击“网站设置”。
- 在“网站设置”页面,单击目标网站域名。
- 在“不插入Cookie字段”列,单击
,开启不插入Cookie字段。
开启该功能后,将会影响CC人机验证、攻击惩罚、动态反爬虫的功能使用,建议您谨慎使用该功能。
完成以上配置后,访问防护网站,按F12打开 “开发者工具”后,在“应用”页签,单击左侧导航栏“Cookie”下的当前域名,确认是否包含HWWAFSESTIME和HWWAFSESID字段。