设置网站防篡改

前提条件

• 已开通WAF实例，且实例满足以下要求：
  • 如果是包年包月实例：已付费购买WAF包年包月实例。具体操作，请参见开通包年包月WAF。
  • 如果是按量付费实例：已在账单与套餐中心，开启数据安全模块下网站防篡改功能。更多信息，请参见账单与套餐中心（按量2.0版本）。
• 已完成网站接入。具体操作，请参见使用教程。

操作步骤

1. 登录Web应用防火墙控制台，在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）。
2. 在网站防护页面上方，切换到要设置的域名。
3. 单击Web安全页签，定位到网站防篡改区域，开启状态开关并单击前去配置。
   重要 网站防篡改开启后，所有网站请求默认都会经过网站防篡改规则的检测。您可以通过设置数据安全白名单，让满足条件的请求忽略网站防篡改规则的检测。更多信息，请参见设置数据安全白名单。
4. 新增网站防篡改规则。
   1. 在网站防篡改页面，单击新增规则。
   2. 在新建规则对话框，输入要防护的网页对应的业务名称和URL，单击确定。
      • 业务名称：网页对应的业务名称。
      • URL：填写要防护的精确路径（以http://或者https://开头），不支持通配符（例如/*）或参数（例如/abc?xxx=yyy，xxx=yyy为参数部分）。该路径下的TXT、HTML和图片等文件都将受到防护。受到防护的单个文件大小不超过1 MB。
        重要 URL携带参数的请求不会命中防篡改规则，会被WAF转发回源站。例如，URL路径设置为/abc，请求URL为/abc?xxx=yyy时，该请求不会命中URL路径为/abc的防篡改规则。
   成功添加网站防篡改规则后，规则默认不开启。您可以在规则列表中看到新建的规则，且防护状态开关未开启。
5. 开启规则。在规则列表中定位到要开启的规则，开启防护状态开关。
   成功开启规则后，规则对应的页面被请求时，将统一返回Web应用防火墙中的缓存记录。
6. 可选：更新缓存。在规则列表中定位到已开启的规则，单击防护状态列下的更新缓存。
   重要 如果被防护页面发生内容更新，您必须单击更新缓存，更新WAF中的缓存记录。如果您在页面更新后未更新缓存，WAF将始终返回最近一次缓存的记录，导致防护失效。