最近百度云防护的规则配置界面迎来了一次重要更新。在自定义规则和CC防护模块中,处置动作选项在原有的“观察”、“JS挑战”、“拦截”等基础上,新增了人机识别、滑块验证、严格滑块验证、动态令牌四种方式。其中人机识别为“JavaScript检测 + 验证码动态验证”的复合机制,四种新增动作均标注为仅企业版支持。
这四项能力的加入,让企业版在应对自动化脚本、CC攻击、恶意爬虫等场景时,拥有了完整递进式的处置动作体系。下面逐一拆解每个动作的原理、适用场景和实战效果。
一、四大新增处置动作详解
1. 人机识别 —— JavaScript检测 + 验证码动态验证
工作原理:人机识别并非单一检测手段,而是由两部分组成的复合验证机制。首先通过注入JavaScript代码在客户端后台静默执行,收集浏览器渲染能力、JS执行环境、DOM特性等信息,判断发起请求的是否为真实浏览器。如果JS检测结果判定为可疑,则进一步弹出验证码(动态验证)要求用户完成交互式校验。整个过程对正常用户基本透明,对脚本则形成检测+验证两道防线。
适用场景:
- 怀疑有自动化脚本在抓取页面,但希望对正常用户造成最低干扰
- 搜索引擎SEO敏感页面,需要过滤Bot但保留爬虫通过的可能性(可通过白名单配合)
- 需要比单纯JS挑战更强的验证,但又不想对所有用户直接弹出滑块
防御效果:JS检测可有效过滤掉不支持完整JavaScript环境的简单脚本(wget、curl、Python requests等),验证码动态验证则进一步拦截使用无头浏览器但无法通过交互式验证的进阶爬虫。两道防线叠加,拦截率明显高于单纯的JS挑战。实测中,大部分低端到中端爬虫工具在第一道JS检测环节就会被筛掉,少数模拟得较好的无头浏览器会在验证码环节被拦截。
注意:该功能仅企业版支持。
2. 滑块验证 —— 交互式验证,通过后30分钟免验
工作原理:直接弹出滑块拼图,用户需要拖动滑块完成拼图对齐操作才能继续访问。验证通过后颁发Cookie,30分钟内默认不重复验证。与人机识别的区别在于:滑块验证不经过JS静默检测环节,直接进入交互式验证阶段。
适用场景:
- Bot管理中对可疑流量做二次确认,AI智能防护判定为异常的请求直接弹出滑块
- 高频访问特定URL的IP群,需要确定背后是否为真人
- 登录、注册、下单等关键业务接口的入口防护
防御效果:滑块验证是目前攻防对抗中性价比最高的验证方式。对真实用户影响极小,但对自动化脚本构成实质性障碍——绕过滑块需要接入打码平台或实现轨迹模拟算法,成本显著提升。
注意:该功能仅企业版支持。
3. 严格滑块验证 —— 每次请求均重新验证
工作原理:与普通滑块验证的技术实现相同,但策略上有根本区别——不颁发免验证Cookie,不设有效期,每次命中规则都会触发滑块验证,用户需要每次完成拼图操作。
适用场景:
- API接口被大批量盗用,攻击者即使通过一次滑块验证,也无法凭借Cookie批量发包
- 图片下载、文件资源等被持续高频盗链的场景
- 支付确认、密码修改等高安全等级操作的防护
防御效果:攻击者即使接入了自动打码服务,面对每次请求都需重新验证的策略,其请求速率会被压缩到极低水平,攻击成本成百上千倍放大。适合对资源消耗极度敏感、可以适当接受用户侧验证频次增加的场景。需要注意的是,此模式下正常用户的体验也会受到较大影响,建议仅对特定高风险URL启用。
注意:该功能仅企业版支持。
4. 动态令牌 —— 无感验证合法客户端
工作原理:服务端向客户端颁发加密的动态令牌,在请求层面校验令牌合法性。合法请求自动通过验证,无令牌或令牌无效的请求将被拦截或执行其他指定动作。令牌具备时效性,可过期、可吊销、不可伪造。
适用场景:
- APP、小程序的后端API接口防护:在APP/小程序内集成SDK获取合法令牌,实现用户无感通过,外部非法请求因无令牌而被拦截
- 合作伙伴API调用鉴权:给合作方分发令牌,使其调用不受其他安全策略干扰
- Web SDK集成场景:配合百度云防护的Web SDK实现前端无感验证
防御效果:动态令牌本质上是在应用层实现了一道身份验证机制。没有令牌的脚本、爬虫、扫描器,无论IP怎么更换、UA怎么伪装,都过不了这道验证。相比IP白名单,令牌验证更安全(不可伪造、可动态管理),且不依赖网络层信息。
注意:该功能仅企业版支持。
二、完整处置动作体系一览
至此,百度云防护企业版在自定义规则和CC防护模块中已形成一套从轻到重、从前端到业务层的完整处置动作矩阵:
| 处置动作 | 用户体验 | 防护强度 | 适用版本 | 最佳场景 |
|---|---|---|---|---|
| 观察 | 完全无感 | 仅记录 | 全版本 | 新规则试运行期 |
| JS挑战 | 透明跳转 | ★★☆ | 全版本 | 筛掉不支持JS的简单脚本 |
| 拦截 | 直接拒绝 | ★★★ | 全版本 | 确定恶意特征的请求 |
| 拦截并追加封禁 | 拒绝+封IP | ★★★★ | 全版本 | 持续攻击的IP |
| 回源标记 | 无感 | – | 全版本 | 将判决结果传给源站 |
| 人机识别 | 正常用户透明 | ★★★★ | 企业版 | JS检测+验证码双重过滤 |
| 滑块验证 | 拖一次滑块 | ★★★★ | 企业版 | 可疑流量二次确认 |
| 严格滑块验证 | 每次拖滑块 | ★★★★★ | 企业版 | 高安全接口、资源防盗链 |
| 动态令牌 | 合法用户无感 | ★★★★★ | 企业版 | APP/API/合作方接入鉴权 |
从表格可以清晰看出:企业版在防护强度和用户体验的平衡上提供了更多中间选项。不必对所有可疑流量一刀切,而是可以根据风险等级选择适合的处置方式。
三、实战配置场景举例
场景1:内容网站防爬虫采集
- 痛点:文章被竞争对手批量抓取,IP分散、频率正常
- 推荐配置:自定义规则匹配
/article/路径 → 处置动作选 人机识别。JS检测先筛掉低端脚本,验证码兜底拦截无头浏览器 - 效果:脚本类爬虫被有效压制,人工复制成本大幅提高
场景2:图片资源防盗链
- 痛点:图片被其他网站直接外链,CDN回源流量居高不下
- 推荐配置:自定义规则匹配
.jpg、.png→ 且Referer不属于本站 → 处置动作选 严格滑块验证 或直接拦截 - 效果:每次外链请求都被强制滑块验证,第三方网站无法正常展示图片,盗链自动崩溃
场景3:APP后端API防护
- 痛点:APP接口被解析复用,第三方客户端盗用流量和数据
- 推荐配置:自定义规则匹配
/api/路径 → 处置动作选 动态令牌,APP内集成SDK获取令牌 - 效果:仅正版APP可正常调用,其他来源请求因无合法令牌被全部拦截
场景4:电商防黄牛抢单
- 痛点:秒杀时大量自动化脚本涌入,真实用户无法完成购买
- 推荐配置:CC防护对
/order/submit启用 严格滑块验证,配合频率限制双保险 - 效果:脚本下单速率被压制到极限,真实用户获得公平购买机会
四、版本选择建议
| 站点类型 | 推荐版本 | 核心理由 |
|---|---|---|
| 个人博客/企业展示站 | 专业版 | 基础防护够用,预算可控 |
| 有原创内容和资源的站点 | 商务版或企业版 | 需要更强的Bot防护和滑块验证 |
| 电商/金融/API服务/APP | 企业版 | 需要人机识别、动态令牌、严格滑块等高级处置 |
主机吧网络安全博客 提供一站式安全产品代购与配置服务:
- 百度云防护 WAF(专业版 / 商务版 / 企业版)
- 高防 CDN / 高防 IP / 高防服务器
- 京东云星盾 SCDN(一体化安全加速)
- SSL 证书(DV / OV / EV,全场景适配)
- 百度 aipage 智能建站(快速搭建官网和落地页)
需要代购、版本升级、规则调优的,直接私信我。选对版本,把防护策略真正落地,比什么都有用。
