请求防护

对客户端请求进行防护,建议根据需要开启相关模块及配置防护参数。


1、请求类型防护

设置禁止的请求类型,建议禁止:PATCH、TRACE、其他

多数情况下,我们只会用到get、post、head、options四种请求类型

类型.jpg


2、敏感信息拦截

拦截流入/流出服务器的敏感关键词(支持GZIP压缩拦截)。适合论坛、留言板、博客等网站,杜绝非法信息流入流出。

可以点击“下载关键词”从护卫神云端下载拦截词库。

词库支持++和--规则,详情了解:https://www.hws.com/doc/frq/96.html

未命�?1.jpg



3、敏感信息过滤

过滤流出服务器的敏感关键词(支持GZIP压缩过滤)。适合论坛、留言板、博客等网站,杜绝非法信息流出。

和“敏感信息拦截”的区别在于:敏感信息过滤是将敏感关键词替换为字符(*),不会拦截网页输出。

可以自己指定替换关键词,例如将“最好”替换为“较好”(填写词库:最好==较好),避免违反广告法!

可以点击“下载关键词”从护卫神云端下载过滤词库。

词库支持++、--和==规则,详情了解:https://www.hws.com/doc/frq/96.html

未命�?2.jpg



4、敏感信息监测

监测流入/流出服务器的敏感关键词(支持GZIP压缩监测),适用于排查黑客入侵、敏感字监控等场景。

词库支持++和--规则,详情了解:https://www.hws.com/doc/frq/96.html

未命�?3.jpg


5、请求数据防护

记录请求数据,以便分析安全威胁。解决WebServer无法记录POST数据的难题。

记录结果请到“事件日志-请求快照”查看。

3.png


6、X-Frame-Options防护

设置网页是否允许被Frame框架嵌套。

有三个选项:DENY(禁止嵌套)、SAMEORUGIN(允许站内嵌套)、ALLOW-FROM(允许指定域名嵌套)

DENY(禁止嵌套):任何情况下都不能嵌套,包含嵌套站内文件。

SAMEORUGIN(允许站内嵌套):只允许相同域名下的网页嵌套,必须是相同域名(带www和不带www是不同的域名)。

ALLOW-FROM(允许指定域名嵌套):只允许指定的域名嵌套网页。

x-frame-options防护.jpg


7、XSS跨站防护

给Cookie设置HttpOnly属性,防止通过JavaScript脚本读取Cookie信息,有效的防止XSS攻击。

黑客窃取Cookie信息,一般都是通过JavaScript脚本读取Cookie信息,再发送到黑客网站,因此禁止JavaScript脚本读取Cookie信息是最好的解决办法。

注意:开启后部分网站可能无法登录后台,请谨慎开启。





上一篇:基本防护