百度云防护新功能:验证配置与跨子域验证,教你灵活控制验证凭证与跨域体验

发布时间:2026-07-01 | 作者:主机吧 | 阅读时长:10 分钟 | 类型:产品动态

一、功能概述

百度云防护 WAF 近期上线了两个新功能:验证配置和跨子域验证。这两个功能主要解决 WAF 验证机制中的两个常见问题:

  • 验证通过后,用户多久需要重新验证一次?
  • 多个子域名接入 WAF 后,能不能只验证一次就通行所有子域?

二、验证配置:灵活控制免验证时长

2.1 功能位置

bash

百度云防护控制台 → 域名接入 → 验证配置

2.2 功能作用

验证配置用于设置 WAF 验证凭证的有效时长。当用户通过以下任意一种验证方式后:

  • JS 挑战
  • 人机识别
  • 滑块验证
  • 动态令牌

系统会为用户颁发一个验证凭证,在配置的时长范围内,该用户再次访问时无需重复验证。

bash

有效时长范围:1 ~ 1440 分钟

2.3 为什么需要调整这个时长

这个时长不是越长越好,也不是越短越好,需要根据当前业务状态动态调整。

被 CC 攻击时:缩短免验证时长

攻击场景:
攻击者使用自动化工具高频请求你的网站
每次请求都通过 JS 挑战后获得凭证
如果凭证时长过长(比如 120 分钟)
攻击者就可以在 120 分钟内持续请求而不触发新验证
服务器压力无法有效缓解

解决方案:
将验证凭证时长缩短到 5-15 分钟
攻击者每过 5-15 分钟就要重新通过一次验证
自动化工具难以持续通过验证
服务器压力明显下降

无攻击时:延长免验证时长

正常场景:
网站没有明显 CC 攻击或爬虫行为
用户访问你的网站时频繁触发验证
影响用户体验,可能造成用户流失

解决方案:
将验证凭证时长延长到 60-120 分钟
正常用户在大部分访问过程中都不会被中断
体验更好,转化率更高

2.4 配置建议

场景推荐时长原因
正在遭受 CC 攻击5-15 分钟增加验证频率,快速过滤自动化工具
存在爬虫但不严重15-30 分钟平衡安全和体验
正常运营期间60-120 分钟减少用户被打断的次数
高安全业务(后台、支付)5-30 分钟安全优先,缩短凭证有效期
公开内容网站120-240 分钟体验优先,减少验证打扰

2.5 如何开启

bash

1. 登录百度云防护控制台
2. 进入 域名接入 → 验证配置
3. 确认已开启 JS 挑战、滑块验证等验证规则
4. 设置有效时长(单位:分钟)
5. 保存并生效
百度云防护新功能:验证配置与跨子域验证,教你灵活控制验证凭证与跨域体验

三、动态令牌防重放:防止凭证被重复利用

3.1 什么是重放攻击

重放攻击是指攻击者截获已经通过验证的请求,然后用相同的凭证重复发送请求。

假设没有防重放功能:

1. 正常用户通过动态令牌验证,WAF 返回一个 token
2. 攻击者截获了这个 token
3. 攻击者用相同的 token 不断发送请求
4. WAF 看到 token 有效,就放行
5. 攻击成功

3.2 防重放原理

开启动态令牌防重放后,WAF 会对 token 进行一次性使用控制:

请求次数WAF 行为
第 1 次验证 token 通过,将该 token 标记为”已使用”并封禁 5 分钟
第 2 次及以后相同 token 再次请求 → WAF 发现 token 在封禁列表中 → 返回 405,要求重新签名

核心逻辑:一个 token 只能用一次,用完即废(5 分钟内)。

这样即使攻击者截获了 token,也无法用同一个 token 持续发起请求。

3.3 重新签名意味着什么

返回 405 并要求重新签名,意味着:

  • 客户端必须重新生成一个新的有效 token
  • 攻击者无法继续用旧的截获 token 滥发请求
  • 正常用户刷新页面或重新操作即可获取新 token

3.4 适用场景

动态令牌防重放主要适用于:

  • 使用动态令牌验证规则的业务
  • API 接口防护
  • 高频接口被刷取
  • 对验证凭证安全性要求较高的场景
百度云防护新功能:验证配置与跨子域验证,教你灵活控制验证凭证与跨域体验

四、跨子域验证:一次验证,全域通行

4.1 功能位置

bash

百度云防护控制台 → 实例管理 → 跨子域验证
百度云防护新功能:验证配置与跨子域验证,教你灵活控制验证凭证与跨域体验

4.2 功能作用

开启跨子域验证后,WAF 会把所有已接入子域的 Cookie 类凭证(如验证令牌、会话 Cookie)种在主域上,而不是各自子域上。

这样各个子域之间就能共享这些凭证,实现:

  • 单点登录(SSO)
  • 跨子域身份验证互通
  • 减少重复验证

4.3 工作原理

未开启跨子域验证时:

www.example.com 验证通过 → 凭证种在 www.example.com
api.example.com 访问时 → 没有凭证 → 又要验证
shop.example.com 访问时 → 没有凭证 → 又要验证

开启跨子域验证后:

www.example.com 验证通过 → 凭证种在 .example.com(主域级别)
api.example.com 访问时 → 读取 .example.com 的凭证 → 直接放行
shop.example.com 访问时 → 读取 .example.com 的凭证 → 直接放行

4.4 是否开启跨子域验证

场景建议原因
子域都是同一业务/同一套系统(如 www/api/admin)✅ 可以开启方便用户跨子域访问,减少重复验证
子域分给不同业务/不同用户群体,安全要求隔离❌ 不要开启避免凭证泄露风险,防止横向影响
有第三方或不可控的子域接入❌ 不要开启弹窗也提示了”请确保主域下所有子域均安全可信”

4.5 风险提示

开启跨子域验证后,弹窗明确提示:

请确保主域下所有子域均安全可信。

因为一旦开启:

  • 主域 Cookie 可被所有子域读取
  • 如果某个子域被入侵或存在 XSS,其他子域的凭证也会受影响

五、三个功能如何配合使用

建议组合使用方案:

bash

1. 验证配置:
   设置凭证有效时长为 30 分钟(默认起点)
   被攻击时临时缩短到 5-15 分钟

2. 动态令牌防重放:
   如果使用了动态令牌验证,开启防重放

3. 跨子域验证:
   如果多个子域属于同一业务,开启跨子域验证
   如果子域之间需要安全隔离,不要开启

六、实际配置示例

6.1 普通网站场景

bash

验证配置:30 分钟
动态令牌防重放:开启(如果使用动态令牌)
跨子域验证:开启(www/api/img 等子域属于同一业务)

6.2 被 CC 攻击时

bash

验证配置:5 分钟
动态令牌防重放:开启
跨子域验证:保持原设置

目的:让攻击者频繁重新验证,自动化工具难以持续通过

6.3 多业务独立子域

bash

验证配置:60 分钟
动态令牌防重放:开启
跨子域验证:不开启

原因:不同业务子域之间需要安全隔离,避免凭证互相影响

七、常见问题

Q:验证凭证时长和动态令牌防重放是一回事吗? A:不是。验证凭证时长控制的是”用户验证通过后多久内免验证”;动态令牌防重放控制的是”同一个 token 能不能被多次使用”。

Q:跨子域验证只支持 Cookie 凭证吗? A:是的。跨子域验证主要共享 Cookie 类凭证,包括验证令牌和会话 Cookie。

Q:跨子域验证对 SEO 有影响吗? A:没有。搜索引擎爬虫不在 WAF 验证机制范围内,通过白名单直接放行。

Q:开启跨子域验证后,所有子域都必须接入百度云防护吗? A:是的。只有已接入 WAF 的子域才能参与跨子域验证共享。

八、总结

百度云防护这两个新功能的定位很明确:

  • 验证配置:让站长根据攻击状态灵活调整用户免验证时长,被攻击时收紧,平稳时放宽
  • 跨子域验证:让同一业务下的多个子域共享验证凭证,提升用户体验,但需要注意安全风险
  • 动态令牌防重放:防止验证凭证被截获后重复利用,提升安全性

合理使用这三个功能,可以在安全性和用户体验之间找到更好的平衡点。

如需配置帮助,可以联系主机吧,免费指导。

主机吧商店 – 百度云防护 WAF: https://www.zhujib.com/shop/26864.html

给TA打赏
共{{data.count}}人
人已打赏
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
在线客服
在线客服
热线电话
QQ客服
电子邮箱
suduwangluo