Web應(yīng)用集成SDK
您必須在應(yīng)用中集成SDK,才能配置網(wǎng)頁(yè)防爬場(chǎng)景化規(guī)則。本文介紹了如何為Web應(yīng)用集成WAF防護(hù)SDK(以下簡(jiǎn)稱SDK)。
組件
Web SDK集成包括Web采集器、異步接口響應(yīng)組件。
Web采集器
Web采集器將客戶端瀏覽器或容器環(huán)境下的特征納入整體antibot攻防體系,進(jìn)一步識(shí)別出多種網(wǎng)絡(luò)層特征無(wú)法覆蓋的攻擊手法,提升攻防效果。
Web采集器采集到的特征經(jīng)過(guò)混淆加密后,在根域名下植入cookie,并通過(guò)請(qǐng)求上報(bào),對(duì)性能影響較小。
Web采集器采集的內(nèi)容主要分為三部分:
瀏覽器或容器環(huán)境信息:常見(jiàn)的如瀏覽器型號(hào)版本、屏幕分辨率、時(shí)區(qū)特性與時(shí)間戳等。
特定攻防探針:主要是針對(duì)一些常見(jiàn)的瀏覽器級(jí)別Bot腳本、driver、自動(dòng)化容器的探針。
用戶操作行為:主要指用戶在頁(yè)面上的鼠標(biāo)、鍵盤(pán)、觸屏事件。
說(shuō)明出于隱私考慮,鍵盤(pán)只會(huì)采集擊鍵時(shí)間,不會(huì)采集具體按下了哪個(gè)鍵。
異步接口響應(yīng)組件
異步接口響應(yīng)組件使Web應(yīng)用程序能在API接口上響應(yīng)antibot攻防體系下發(fā)給客戶端的挑戰(zhàn)(目前包括JS校驗(yàn)和Captcha挑戰(zhàn))。采用此組件后,如果WAF給某一API接口下發(fā)挑戰(zhàn)response,異步接口響應(yīng)組件探測(cè)到該挑戰(zhàn)response后,會(huì)作出響應(yīng)。
異步接口響應(yīng)組件為純功能性組件,不涉及任何安全功能,不會(huì)進(jìn)行任何數(shù)據(jù)采集或上報(bào)。
異步接口響應(yīng)組件工作原理如下:
異步接口響應(yīng)組件會(huì)全局重寫(xiě)頁(yè)面上的xmlHttpRequest(xhr)、Fetch、Form等通用的API接口請(qǐng)求對(duì)象,在API接口請(qǐng)求對(duì)象上額外封裝一層代碼,不會(huì)影響原始對(duì)象的各種特性。
Hook完畢后,異步接口響應(yīng)組件會(huì)先于頁(yè)面上的其他JS代碼,判斷請(qǐng)求的response是否為WAF返回客戶端的挑戰(zhàn)類(lèi)處置手段(JS校驗(yàn)與captcha挑戰(zhàn))。
如果發(fā)現(xiàn)response并非WAF返回(而是源站返回),異步接口響應(yīng)組件不會(huì)執(zhí)行任何響應(yīng),會(huì)把response處理權(quán)限向下透?jìng)鹘o網(wǎng)站本身的JS代碼。如果發(fā)現(xiàn)response是WAF返回的,異步接口響應(yīng)組件會(huì)解析返回的response中的算法內(nèi)容、執(zhí)行WAF要求的JS運(yùn)算、并在運(yùn)算之后攜帶JS校驗(yàn)驗(yàn)證簽名重新發(fā)起請(qǐng)求。該重新發(fā)起的請(qǐng)求會(huì)被WAF驗(yàn)簽放過(guò),成功回源。
兼容性說(shuō)明
環(huán)境兼容性:兼容IE8內(nèi)核以上各類(lèi)瀏覽器與客戶端容器。
兼容性依賴:客戶端請(qǐng)求可以正常攜帶cookie上報(bào)。容器或請(qǐng)求本身不支持cookie,則組件功能會(huì)被影響。
Hook兼容:對(duì)于一些特殊業(yè)務(wù),異步API接口的請(qǐng)求本身采用的hook原生XHR、form、Fetch等對(duì)象會(huì)與異步接口響應(yīng)組件產(chǎn)生沖突。
部署方式
自動(dòng)集成
自動(dòng)集成需要網(wǎng)站HTML頁(yè)面請(qǐng)求經(jīng)由WAF。無(wú)需客戶網(wǎng)頁(yè)代碼改造即可部署完成,并且可以享受線上熱更新。
在配置網(wǎng)頁(yè)防爬場(chǎng)景化的防護(hù)場(chǎng)景定義時(shí),選擇自動(dòng)集成后,Bot管理在處理HTML頁(yè)面response時(shí),會(huì)主動(dòng)將HTML格式解開(kāi),并將Web采集器組件、異步接口處理組件插入到dom結(jié)構(gòu)中,并返回給客戶端。更多信息,請(qǐng)參見(jiàn)配置防護(hù)場(chǎng)景定義。
對(duì)于已經(jīng)壓縮的HTML頁(yè)面,目前注入式部署只支持content-encoding:gzip的壓縮方式,暫不支持br與deflate壓縮。
手工集成
適合于無(wú)法滿足自動(dòng)集成的場(chǎng)景,包括HTML頁(yè)面流量沒(méi)有經(jīng)過(guò)antibot攻防體系,或壓縮類(lèi)型不支持等。需要滿足兩個(gè)原則:
所有需要依賴antibot攻防體系挑戰(zhàn)處置的API接口,所在的HTML頁(yè)面都必須接入此SDK。
獲取SDK鏈接。訪問(wèn)BOT管理頁(yè)面,在場(chǎng)景化防護(hù)頁(yè)簽,單擊新建模板,在防護(hù)場(chǎng)景定義配置向?qū)ы?yè)面,配置Web SDK集成時(shí),選擇手動(dòng)集成后單擊獲取SDK鏈接。請(qǐng)將如下<script>節(jié)點(diǎn)置于頁(yè)面上所有其他<script>節(jié)點(diǎn)之前以保證最先加載:
<script src="http://g.alicdn.com/frontend-lib/frontend-lib/2.3.66/jquery_240828.min.js"></script>
本地化式部署
該部署方案僅用于某些特殊情況,如頁(yè)面csp不允許從alicdn上加載資源,或因?yàn)槟承┰蛐枰獙⑺薪M件完全本地化到自身業(yè)務(wù)域名下。不推薦采用該方式部署。
若要本地化部署,您可以在本地域名下新建兩份JS資源,將CDN上JS中的代碼內(nèi)容全部拷貝到本地,然后采用類(lèi)似“SDK接入式部署”的原則將本地化的JS資源加載到頁(yè)面。