当WAF检测到恶意请求时,我们通常只能做选择题:要么直接拦截(一刀切),要么仅记录(放行但被动)。但有没有一种方式,能让WAF在发现风险时,不直接做最终裁决,而是将情报“转交”给业务层自行判断?2026年,百度云防护Web防护在处置动作中重磅上线了「回源标记」功能,让WAF从“执行者”变成了“情报员”。
一、 「回源标记」是什么?
在百度云防护WAF的自定义规则中,处置动作新增了一个选项——回源标记。
核心逻辑:WAF不直接处理命中规则的请求,而是在请求头中添加自定义的Header信息,将命中情况传递给源站服务器。
也就是说,当WAF识别到某个请求命中了某条安全规则后,不会拦截它,而是在其HTTP请求头里贴上“标记”,然后放行回源。服务器接收到请求后,可以根据这个标记决定后续处理方式。
用一句话理解:传统的WAF像“保安”,决定谁进谁不进;回源标记像“安检扫描仪”,扫描后给行李贴上标签,但进不进来由里面的人决定。
二、 如何配置「回源标记」?
根据百度云防护控制台界面,配置步骤如下:
- 进入自定义规则页面:防护配置 → Web防护 → 自定义规则 → 添加规则。
- 设置匹配条件:按业务需求定义命中规则的条件(如URI包含
/api/、IP属于某地址簿、User-Agent包含某特征等)。 - 选择处置动作:在处置动作列表中,选择回源标记。
- 填写Header信息(关键步骤):WAF不会自动放行,而是会根据你的设置自定义Header名称和内容后,再将请求回源。例如:
- Header名称:
X-WAF-Risk - Header内容:
high-risk
- 保存规则并应用到防护站点。
完成配置后,符合规则的请求在WAF层不会被拦截,但请求头中会带上你自定义的标记字段,直达源站业务系统。
三、 「回源标记」的四大使用场景
场景1:风险分级,业务侧柔性处理
有些请求,WAF难以判断是否100%恶意(如IP来自高风险地区但UA正常)。直接拦截可能误伤,不拦截又担心风险。
解决方案:配置自定义规则,命中高风险IP地址簿后,处置动作选“回源标记”。源站收到携带X-WAF-Risk: high的请求后,可以选择:
- 触发二次验证(如弹滑块验证码)
- 记录详细日志供后续分析
- 限制该请求访问高敏感接口(如支付、修改密码)
优势:既利用了WAF的检测能力,又将最终决策权交给业务层,实现“精准识别+柔性处理”。
场景2:串联自建风控系统,构建多层防御
部分大型企业已自建了复杂的业务风控系统,但缺乏流量层面的风险感知能力。
解决方案:WAF作为第一道防线,将识别到的风险通过Header标记传递给后端风控系统。风控系统再结合用户画像、设备指纹、行为序列等多维度信息,做出最终裁决。WAF与业务风控不再是孤岛。
优势:让WAF的流量检测能力与企业自建风控系统无缝衔接,构建“WAF预检+业务深检”的多层防御链。
场景3:灰度放行,验证规则有效性
在引入新规则时,直接设为“拦截”可能误伤业务,设为“观察”又无法在业务侧感知。
解决方案:将规则处置动作设为“回源标记”,观察一段时间内的业务反馈:
- 如果标记的请求中有大量正常用户,说明规则需要调整
- 如果标记的请求均为攻击行为,可以择机将规则改为“拦截”
优势:在“观察”和“拦截”之间增加了一个“带标记放行”的过渡态,让规则验证更平滑、风险更低。
场景4:自定义业务逻辑,实现定制化拦截
某些业务场景下,拦截请求本身不是目的,而是需要执行特定的业务逻辑。
解决方案:WAF通过“回源标记”告知业务系统某个请求存在风险,业务系统根据自身逻辑执行定制化操作——例如返回自定义错误页面、记录特殊审计日志、触发告警通知等。
优势:WAF专注安全检测,业务系统专注业务逻辑,各司其职,灵活组合。
四、 「回源标记」vs 其他处置动作
| 处置动作 | 对请求的处理 | 源站感知 | 适用场景 |
|---|---|---|---|
| 观察 | 放行,仅记录日志 | ❌ 无感知 | 规则测试、流量分析 |
| 拦截 | 直接阻断,返回403 | ❌ 请求到不了源站 | 明确恶意的攻击 |
| JS挑战/滑块 | 验证客户端是否真人 | ❌ 验证通过前不到源站 | 疑似爬虫、CC攻击 |
| 回源标记 | 放行,添加自定义Header | ✅ Header中携带风险标记 | 精细化运营、风控联动 |
核心差异:回源标记让源站成为了安全决策的参与者,而非被动接收者。
五、 主机吧总结:让WAF从“一刀切”走向“精细化”
百度云防护「回源标记」功能的上线,标志着WAF从传统的“拦截/放行”二元决策,迈向了精细化运营的新阶段。它让安全不再是非黑即白的选择,而是可以根据业务场景灵活调配的策略。
如果你还在为“误拦正常用户”和“漏过恶意请求”之间的矛盾而头疼,不妨试试“回源标记”——让WAF做“标记员”,让业务系统做“裁判员”。
百度云防护专业版及以上套餐均支持「回源标记」功能。如果你还不会配置,或者想了解如何将该功能与企业自建风控系统结合,欢迎联系主机吧。我们提供免费安全评估和配置指导,助你构建更灵活、更智能的网站防护体系。
主机吧 | 百度云防护官方合作伙伴
提供WAF接入、高防CDN、高防IP、高防服务器、SSL证书一站式服务
让每一次安全决策更精准,让每一次业务运营更从容。
