更新时间:2024-02-19 17:27:34
Web风险检测是一种无感验证策略,通过基于JavaScript的Web SDK针对性提升Web浏览器场景下的Bot识别和对抗能力,适用于Web/H5网页(包括APP及小程序中通过内置浏览器在线加载的网页)。
启用该功能后,云安全平台将自动在所有HTML页面中引用该JS SDK,请关注页面兼容性或者提前预部署验证。
JS SDK会采集三类信息:
云安全平台在响应阶段嵌入的JS SDK如下:
JS SDK | 缓存时长 |
---|---|
/_fec_sbu/hxk_fec_[version].js | 30 days |
/_bot_sbu/sbu_fpcmx.js | 30 days |
云安全平台在请求阶段新增的Cookie如下:
Cookie名称 | 持续时长 | 适用协议 | Secure | HttpOnly |
---|---|---|---|---|
FECW | 10 years | HTTPS | √ | × |
FECA | Session | HTTPS | √ | × |
FECN | 10 years | HTTP | × | × |
FECG | Session | HTTP | × | × |
另外,云安全平台针对本站下的异步接口请求还会添加如下URL令牌:
令牌名称 | 示例 |
---|---|
FECU | http://www.example.com/test.html?id=1&FECU=[value] |
注意:
- 在配置交互行为验证时,建议每条规则只验证一个URI。若使用正则匹配,需充分验证,避免匹配到非预期的URI。
- 填写“不需要嵌入JS的html页面”的同时,需将该页面上发起的POST请求和Ajax请求添加至“应用请求白名单”,否则将无法通过浏览器特性验证。正常情况下,不建议填写。填写前建议与您的技术支持专家进行确认。