Web风险检测
更新时间:2026-03-25 18:14:15
功能简介
Web风险检测是一种面向网页场景的无感人机验证能力,用于增强对Web浏览器环境中Bot流量的识别和对抗效果。适用于 Web/H5 页面,包括在 APP 或小程序内通过内置浏览器加载的网页。
该功能通过在网页中注入轻量级JavaScript SDK(几十KB),精准采集浏览器环境与交互信号,并结合服务端策略进行综合研判处置。
核心解决以下风险场景:
- 伪造或非真实浏览器环境的自动化访问。
- 使用自动化框架控制浏览器发起的恶意爬虫或撞库。
- 缺乏真实用户交互(如无鼠标滑动、按键等)的机器批量操作。
- 针对前端安全检测逻辑的恶意调试、篡改与绕过。
注意: 启用该功能后,云安全平台会自动向站点返回的 HTML 页面中插入该 JS SDK。由于该功能会影响页面内容返回方式,可能与部分前端脚本、页面兼容性配置或浏览器环境产生冲突。建议您在正式启用前,先在测试环境或灰度环境中完成验证。
工作原理
Web 风险检测采用**“端侧页面注入 + 环境/行为采集 + 状态关联 + 云端综合决策”**的闭环工作机制。
- 无感注入:真实用户访问网页时,云安全平台在响应体中自动植入安全JS SDK。
- 信号采集:JS SDK在浏览器运行期间,只会采集用于判断当前访问是否更符合真实用户浏览器行为的信息,不会采集具体输入的内容。
- 浏览器基础信息:浏览器的语言、屏幕分辨率、时区等。
- 环境风险信息:检测浏览器端是否使用了诸如Webdriver之类的自动化工具。
- 用户交互行为事件:键盘、鼠标、触屏事件。
- 状态关联:通过种入特定的 Cookie 或在异步请求中附加 URL 令牌(Token),将前端采集的信号与后续业务请求进行绑定。
- 综合研判:云服务端结合多维信号进行风险研判,并根据您的策略配置动作进行监控、拦截等处置。
操作步骤
- 登录控制台并进入已订阅的安全产品页面。
- 前往防护配置>安全策略页面。
- 定位到要配置安全策略的域名,点击
,进入安全策略编辑页面。 - 选择Bot管理页签,如果Bot管理已关闭,请先开启。
- 在Web风险检测下开启相关检测功能,并设置例外场景。
- 确定配置后,点击底部<部署>按钮,下发配置(等待1-3分钟生效)。
平台新增对象说明
启用本功能后,平台会在页面和请求中增加以下对象,请确认与您的业务无冲突:
-
云安全平台在响应阶段嵌入的JS SDK如下:
JS SDK 缓存时长 /_fec_sbu/hxk_fec_[version].js 30 days -
云安全平台在请求阶段新增的Cookie如下:
Cookie名称 持续时长 适用协议 Secure HttpOnly FECW 10 years HTTPS √ × FECA Session HTTPS √ × FECN 10 years HTTP × × FECG Session HTTP × × -
另外,云安全平台针对本站下的异步接口请求还会添加如下URL令牌:
令牌名称 示例 FECU http://www.example.com/test.html?id=1&FECU=[value]
注意:启用 Web 风险检测后,页面内容、Cookie 和部分异步请求URL可能发生变化。因此建议您在正式启用前重点验证以下内容:
- 页面脚本兼容性
- 前端资源加载是否正常
- 异步接口是否允许附加 URL 参数
- 是否存在对 Cookie 或 URL 参数的严格校验逻辑
- 是否与CSP、缓存策略或其他安全配置冲突
配置项说明
Web 风险检测包含以下5个能力维度,其中,浏览器特性验证为基础能力,不支持单独关闭;其余能力可根据业务需要选择是否启用。
| 能力维度 | 核心作用 | 配置建议 |
|---|---|---|
| 浏览器特性验证 | 验证客户端是否具备执行 JS 和支持 Cookie 的基础能力。 当处理动作设置为“拦截”时,该能力会采用自适应处理方式:对于一般 GET 请求,若验证未通过,平台通常会优先发起人机挑战,而不会直接拦截。通过挑战的请求将被放行,未通过的请求再按拦截处理。 |
基础能力,默认开启,不可单独关闭。 |
| 自动化工具检测 | 对客户端环境进行检查,验证请求是否由已知的自动化工具发起(包括Webdriver、PhantomJS等)。对于异常请求,将依据配置的处理动作处置。 | 推荐开启。有效防御中高级爬虫。 |
| 破解行为检测 | 识别试图篡改或绕过JS SDK核心逻辑的攻击行为。对于异常请求,将依据配置的处理动作处置。 | 推荐开启。增加攻击者逆向成本。 |
| 页面反调试 | 干扰开发者工具(F12)的使用,增加前端代码分析难度。 | 按需开启。适用于高价值/高对抗业务。 |
| 交互行为验证 | 检测页面的用户交互行为,对不满足实现业务最少交互次数的请求,将依据配置的处理动作处置。交互行为包含键盘、鼠标以及触摸屏的交互次数,不涉及具体的用户敏感信息。
| 按需开启。适用于明确需要用户操作触发的敏感接口(如登录、下单)。 在配置交互行为验证时,建议每条规则只验证一个URI。若使用正则匹配,需充分验证,避免匹配到非预期的URI。 |
例外场景说明
在某些特定业务场景下,您需要配置“例外”以保障业务的正常运转:
场景一:不需要嵌入JavaScript的html页面
若特定html页面存在JavaScript嵌入兼容问题时,可通过添加URI例外。
场景二:Ajax请求例外
Web风险检测下发到客户端的JavaScript文件会通过对Ajax请求动态添加URI Token来进行持续性检验,因Ajax请求默认不缓存的特性,会导致请求重复响应,从而造成网络带宽增加,所以系统默认会例外这类请求。
- 这是安全和成本的较量,如果您想提高此类请求的访问安全,可移除Ajax请求例外。
- 但如果您的网站对URL参数有严格的校验限制,那不建议您移除Ajax请求例外。
场景三:非html应用请求例外
如果您的网站存在来自如下客户端的请求,那么您需要在使用Web风险检测前,根据请求特征在自定义请求例外中配置例外,避免被Web风险检测误处理,从而影响业务的正常使用。
- 原生APP
- 原生小程序
- 第三方应用的API接口调用
自定义请求例外说明:
- 名称:填写例外规则的名称。
- 规则描述(选填):填写对规则的描述信息。
- 匹配条件:根据应用需求填写匹配条件。支持配置多个匹配条件,多个匹配条件之间是“且”的关系。单个匹配条件可以使用分隔符输入多个匹配项,多个匹配项之间是“或”的关系。
最佳实践
为了确保业务平稳过渡并发挥最大安全效能,建议您遵循以下“三步走”策略:
- 关注前端环境兼容性(上线前)
若站点启用了CSP、前端完整性校验、资源缓存控制或特殊页面渲染逻辑,请在启用前确认与 JS 注入机制兼容。 - 先灰度,后放量(部署初期)
对于支付、交易、登录等敏感页面,建议先小范围灰度启用,观察是否对正常用户体验造成影响,再逐步扩大范围。 - 精准保护高风险资产(策略细化)
- 优先将Web风险检测覆盖到核心业务:注册、登录、找回密码、发短信、下单、秒杀等容易被黑产机器批量利用的场景。