很多网站为了提升用户体验,接入了微信扫码登录。但接入后却发现:用户扫码后,页面卡在“正在登录”,迟迟跳转不回来;或者偶尔成功、偶尔失败。排查半天,最后发现问题出在 WAF(Web应用防火墙) 上——微信回调服务器的请求被当作恶意流量拦截了。今天我们就来教你,如何通过百度云防护的白名单规则,精准放行微信登录回调,同时不影响整体安全防护。
一、 为什么微信登录会被WAF误拦?
微信登录的典型流程是:
- 用户在网站点击“微信登录”,跳转到微信授权页面。
- 用户扫码确认后,微信服务器会向你的网站回调接口发送一个请求(携带code等参数)。
- 你的网站根据code获取用户信息,完成登录。
这个回调请求来自微信的服务器(域名如weixin.qq.com),它的Referer通常也包含weixin.qq.com。然而,WAF的基础防护规则、CC防护、IP黑名单等模块,可能会因为以下原因误拦这个请求:
- 请求中携带的参数被误判为SQL注入或XSS。
- 请求频率或模式触发了CC防护阈值。
- 微信服务器的IP段不在白名单内,触发了区域封禁或IP黑名单。
结果就是:用户扫码成功,但回调被WAF拦截,网站收不到微信的确认信息,登录失败。
二、 解决方案:百度云防护白名单规则(基于Referer)
我们可以创建一条自定义白名单规则,专门放行来自微信的回调请求。核心思路:匹配请求头中的Referer字段,只要Referer包含weixin.qq.com,就跳过所有WAF检测模块,直接回源。
操作步骤
第一步:进入自定义规则页面
登录百度云防护控制台 → 防护配置 → Web防护 → 白名单规则 → 点击 添加规则。
第二步:填写基本信息
- 规则名称:建议填写“微信登录白名单”(便于识别)。
- 接入类型:根据你的实际接入方式选择(一般选SaaS WAF)。
第三步:配置匹配条件
- 匹配字段:选择 Referer。
- 逻辑符:选择 包含。
- 匹配值:填写
weixin.qq.com(注意不要带http://或https://,只需域名部分)。
为什么用Referer? 微信回调请求的Referer通常为微信相关域名,这是区分微信请求与其他请求的可靠特征。
第四步:配置处置动作与跳过检测模块
- 处置动作:选择 放行(或“不拦截”,不同版本界面可能显示为“放行”)。
- 跳过检测模块:这是关键!必须勾选要让白名单绕过的防护模块。建议勾选以下模块:
- 基础防护规则(防止SQL注入、XSS等误判)
- 自定义规则(避免被其他自定义规则拦截)
- 智能CC(避免频率限制)
- 精准自定义CC(同上)
- IP黑名单(避免微信IP被拉黑)
- 区域封禁(避免因地区限制被拦)
- 信息泄露防护、网页防篡改、Bot规则(如果有的话)
如果你希望微信回调完全绕过所有WAF检测,可以勾选 全选。
第五步:应用到防护站点
在“防护站点配置”中,勾选需要生效的域名,确保该规则对这些站点生效。
第六步:保存并测试
点击 确定 保存规则。然后测试微信登录,观察是否还会出现跳转失败。你可以在WAF的攻击日志中查看是否有来自微信的请求被放行(动作显示“放行”或“白名单”)。
三、 配置示例(参考截图)
从用户提供的截图可以看出,他创建了一条名为“微信登录白名单”的规则:
- 匹配条件:Referer 包含
weixin.qq.com - 跳过检测模块:勾选了基础防护规则、自定义规则、智能CC、精准自定义CC、IP黑名单、区域封禁、信息泄露防护、网页防篡改、Bot规则(实际上等同于全选)
- 防护站点:应用于等多个域名
这正是解决微信登录回调被误拦的标准配置。
四、 注意事项
- 不要过度放行:Referer可以被伪造,但微信回调的Referer通常真实。如果你的网站安全性要求极高,可以进一步限制IP段(微信官方回调IP段可查),但一般Referer白名单已足够。
- 仅对回调接口生效:如果你希望更精确,可以在匹配条件中增加“URI包含”条件(例如
/wechat/callback),只对微信回调URL放行,进一步降低风险。 - 测试验证:配置后务必用真实微信扫码测试,同时检查WAF日志,确认没有其他拦截。
五、 总结
微信登录回调被WAF误拦,是网站接入第三方登录时的常见问题。百度云防护的自定义白名单规则,通过匹配Referer并跳过检测模块,可以轻松解决这一痛点。你不需要关闭WAF的安全防护,只需为可信的请求开辟一条“绿色通道”。
如果你在配置过程中遇到任何问题,或者需要更精细的规则定制(比如只放行特定IP段),欢迎联系主机吧。我们提供免费安全评估和配置指导,助你平滑解决WAF误拦问题。
主机吧 | 百度云防护官方合作伙伴
提供WAF接入、高防CDN、高防IP、高防服务器、SSL证书一站式服务
让每一次回调都畅通无阻,让每一次登录都安全快捷。
