边缘安全加速 ESA的 SNI(Server Name Indication)白名单是一种安全防护功能,开启后将对 SSL/TLS 握手时使用的 SNI 信息与 HTTP 请求头中的 Host 域名进行一致性校验。两者不匹配时,请求将被拒绝。通过配置白名单,指定允许跳过校验的域名,可有效防止域名被恶意利用,避免域前置(Domain Fronting)漏洞。
背景信息
域前置是一种利用 HTTPS 连接中 SNI 与 Host 头不一致来隐藏真实目标域名的技术,常被用于绕过网络审查或进行恶意攻击。开启 SNI 白名单后,ESA会强制校验 SNI 与 Host 的一致性,仅放行白名单内的域名,从根本上阻断此类攻击路径。
注意事项
开启 SNI 白名单前,请确认业务中不存在合法的 SNI 与 Host 不一致的请求场景,否则可能导致正常请求被拦截。
如果业务中使用了自定义域名回源、代理转发等特殊架构,建议将相关域名加入白名单后再开启功能。
当站点处于版本管理的只读状态时,SNI 白名单配置不可编辑。
操作步骤
开启 SNI 白名单
在ESA控制台选择站点管理,在站点列单击目标站点。
在左侧导航栏,选择。
单击SNI 白名单面板右上角的配置按钮进入编辑态。
开启状态开关。
在白名单输入框中,输入需要跳过 SNI 与 Host 一致性校验的域名。
支持输入域名前缀(如
www),系统会自动补全为完整域名(如www.example.com)。
单击确定,保存配置。
配置项说明
配置项 | 说明 |
状态 | 控制 SNI 白名单功能的开启与关闭。开启后,ESA将对非白名单域名的 SNI 与 Host 进行一致性校验,不匹配的请求将被拒绝;关闭后,不再进行一致性校验。 |
白名单 | 允许跳过 SNI 与 Host 一致性校验的域名列表。白名单中的域名在请求时将跳过校验。 |
该文章对您有帮助吗?