网站域名接入Web应用防火墙后,您可以选择开启Cookie防篡改功能,开启后,WAF可通过Cookie中的字段对网页进行完整性校验保护。
前提条件
- 已开通Web应用防火墙(原生版)实例。
- 已完成网站域名接入。
使用限制
基础版和标准版不支持Cookie防篡改功能,请升级到更高版本使用。
操作步骤
-
登录天翼云控制中心。
-
单击页面顶部的区域选择框,选择区域。
-
在产品服务列表页,选择“安全>Web应用防火墙(原生版)”。
-
在左侧导航栏,选择“防护配置”,进入防护配置页面。
-
在“防护配置”页面上方的“域名选择”下拉框,切换到要设置的域名。
-
选择“系统配置”页签,定位到“Cookie防篡改”模块,可以选择开启/关闭防护。
-
单击配置详情右侧的“前去配置”,进入Cookie防篡改配置页面,配置相关参数。
参数说明如下:
配置项 说明 防护模式
默认为“Cookie签名”,且不支持修改。 新增Cookie字段,字段值为待防护Cookie字段的签名,请求会对签名值进行完整性校验,若发生篡改则进行处置。
Cookie密钥 用于生成防篡改签名值的密钥(AES256),您可以自定义或者“快速生成密钥”。
Cookie兼容时间 生成配置后为了兼容之前未带Cookie签名的请求,可以设置生效时间。默认为当前时间。
IP校验 默认为“是”,表示除了对于防护Cookie值校验,同时也会对访问IP进行校验,同一Cookie值更换IP后无法通过校验。
修改为“否”,将仅对Cookie值进行校验。
Cookie字段名称 单击“新增Cookie字段”,新增一个Cookie字段。
HttpOnly:Cookie属性字段,用于避免客户端脚本访问该Cookie,勾选后可防止客户端脚本读取Cookie,防范XSS攻击。
Secure:Cookie属性字段,勾选后仅支持通过Https发送Cooike,防范采用Http协议发起的政击。
处置动作 选择WAF检测到篡改行为后,系统执行的动作。
拦截:拦截请求。
观察(仅记录):仅通过日志记录请求,不进行拦截。
-
单击“确认”,完成配置。
