使用Bot管理防护App业务-Web应用防火墙(WAF)-阿里云帮助中心

如果您的实际业务是基于iOS或Android原生开发的App（不包括App中使用的H5页面）等，您可以创建Bot-App防护模板，自定义防护规则，防御App爬虫。

操作步骤

重要

启用了JS验证或滑块防护动作，当访问流量命中规则后，Web应用防火墙将对客户端发起JS校验或滑块验证，当客户端验证通过后将会在HTTP报文的Header中分别植入Cookieacw_sc__v2和acw_sc__v3，用于标识客户端已经通过验证。

登录Web应用防火墙3.0控制台。在顶部菜单栏，选择WAF实例的资源组和地域（中国内地、非中国内地）。在左侧导航栏，选择防护配置 > BOT管理 > App防护，单击新建模板。

步骤一：防护场景定义

在防护场景定义配置向导页面，填写模板名称与模板介绍，以便于您进行后续管理。

选择防护目标特征，支持全局生效与定制匹配条件两种类型。

全局生效：适用于仅存在网页/H5环境的场景。

定制匹配条件：适用于除网页/H5环境外，还存在APP/小程序环境，或希望针对特定的业务接口（如登录、秒杀等）进行防护的场景。

全局生效

配置防护目标为全局生效，无需输入流量特征。

定制匹配条件

配置防护目标为定制匹配条件，依据输入特征进行匹配。通过单击新增条件添加一个条件。每个条件由匹配字段、逻辑符和匹配内容组成。配置示例如下：

说明

若规则包含多个条件，则请求必须满足所有条件（逻辑与关系），才能命中该规则。关于匹配字段和逻辑符的详细说明，请参见匹配条件说明。

匹配字段	逻辑符	匹配内容	说明
URI Path	包含	`/login.php`	当请求的路径包含`/login.php`时，则请求命中该规则。
IP	属于	`192.1.XX.XX`	当客户端IP为`192.1.XX.XX`时，则请求命中该规则。

勾选是否排除静态文件，静态文件请求通常不涉及业务逻辑，且其内容本身不易被用于注入攻击，排除静态文件可减少检测负载，使WAF专注于保护动态接口。建议选择默认的静态文件类型，也可自定义添加类型。
单击创建模板。

步骤二：编辑模板规则

在编辑模板配置向导页面，完成如下配置后，单击下一步。

配置项	说明
风险识别	在风险识别区域，可以单击新建，创建风险识别规则。基于WAF内建的手机号信誉数据库，实现针对黄牛等异常手机号的访问阻断，适用于手机号登录注册类场景，更多信息，请参见风险识别。
策略配置	单击目标规则状态列的图标，开启或关闭规则。单击目标规则状态列的编辑可对规则进行修改。处置动作拦截：拦截命中规则的请求，并向发起请求的客户端返回拦截响应页面。说明 WAF默认使用统一的拦截响应页面，也可以通过自定义响应功能，自定义拦截响应页面。观察：不拦截命中规则的请求，仅通过日志记录请求命中的情况。在试运行规则时，可以先通过观察模式分析WAF日志，以确认未产生误拦截，再将其调整为其他规则动作。滑块：WAF向客户端返回滑动验证页面。若客户端成功完成滑动验证，则WAF在一段时间（默认30分钟）内放行该客户端的所有请求，否则拦截请求。严格滑块：WAF向客户端返回滑动验证页面。若客户端成功完成滑动验证，则放行该请求；否则拦截请求。在此模式下，客户端每次命中该规则的请求均需进行滑动验证。回源标记：表示客户可以自定义Header名称及内容（规则类型、规则ID、网页端UMID），WAF不会直接处理，而是会通过新增Header的方式将命中信息返回给源站，客户可以与后端风控系统结合做业务侧处理。规则灰度配置规则是针对不同维度的对象的生效比例。开启规则灰度后，您还需要设置灰度维度和灰度比例。灰度维度包括：IP、自定义Header、自定义参数、自定义Cookie、Session、APP端UMID。说明规则灰度根据配置的维度生效，而非对请求按比例随机生效规则。例如，当维度为IP且灰度比例为10%时，WAF将选择约10%的IP地址；被选中的IP地址，其所有请求均应用该规则，而非对所有请求按10%的比例随机应用。生效模式永久生效（默认）：防护模板开启时，规则永久生效。按时间段生效：防护规则仅在指定的一段时间内生效。按周期生效：防护规则仅在指定的时间周期内生效。