发布于 1 个月前
发布于 1 个月前
Panniyanjie
更新于 1 个月前
4
0
对于现在的WAF中,如果我代理了接口,对于验证不通过的站点,雷池会直接返回错误页面。
是否能增加”接口模式“
对于一个响应体,将用户正常返回的内容置于data中返回。如果通过WAF,code显示WAF的状态。
也就是说,对于WAF的拦截不以html形式反馈,而是以json格式返回
{
code:200,
msg:"验证通过".
data:{ ... }
}
这样对于微信小程序等接口需增加防护的,可以在小程序编写阶段就处理各种情况,如用户请求存在异常行为直接页面内提示。
齐天大圣孙悟空
更新于 1 个月前
2
0
需求是个好需求。。。
但是技术上现在没有特别好的解决方案。为啥呢?因为人机验证需要依赖 js,不下发 html 就没法执行 js
Panniyanjie
更新于 1 个月前
看了下现有WAF的几大防护功能,分别举例了一些建议。
攻击防护:基于请求包检查,不依赖JS(?
CC防护:不依赖js。
BOT防护:不清楚原理
身份认证&人机验证:使用前端组件在应用中嵌入验证操作
因为基于json返回的模式应用场景必定是在开发阶段就已经对接了雷池WAF,所以可以将人机验证的验证做成单独的前端组件直接嵌入产品页面。
前端页面需要初始化一个雷池提供的前端组件,当需要人机验证的时候,前端可以调用这个组件的验证方法。当组件验证通过之后,前端可以获取到一个token,之后,带着这个token请求WAF,结合IP地址,去请求验证,来最终确认人机验证是否通过。
类似于vaptcha和cloudflare提供的人机验证。
这样能够将部分WAF中的操作嵌入应用,使应用和WAF无缝衔接,提升用户体验。
