Web Application Firewall：配置自訂響應頁面

工作原理

預設情況下，當用戶端請求命中WAF的防護規則，且該規則動作設定為拦截、滑塊或严格滑块時，WAF 將返回系統預設的響應頁面。可以通過配置自定义响应功能，靈活定義以下內容：

• HTTP 狀態代碼（如 403、406、429 等）

• 回應標頭（Headers）

• 響應體（Body），支援 HTML、JSON 等格式

從而打造與業務風格一致的響應頁面，提升使用者體驗。

適用範圍

• 版本要求：已開通訂用帳戶企業版、旗艦版，或隨用隨付版WAF執行個體。

• 配置前提：已存在防護對象（已將Web業務接入WAF），若尚未將業務接入，請參見接入概述。

• 支援的防護模組：除Web 核心防护规则模組外，其他所有可配置規則動作為拦截、滑塊或严格滑块的模組均受支援。

• 接入形態限制：

  • 不支援Function ComputeFC。

  • MSE需升級至2.0.18版本及以上。

  • APIG需升級至2.1.13版本及以上。

  • BOT管理APP防護不支援自訂滑塊頁面，需通過修改SDK配置實現。

操作步驟

配置響應頁面

1. 登入Web Application Firewall3.0控制台。在頂部功能表列，選擇WAF執行個體的資源群組和地區（中国内地、非中国内地）。

2. 在左側導覽列，選擇防护配置 > 高级配置 > 自定义响应。

3. 在响应页面配置頁面，按業務需求進入拦截页面或滑块页面頁簽，單擊新建。

   拦截页面

   • 名称：設定一個便於識別的名稱。

   • 响应码：設定用戶端請求被WAF攔截時，WAF返回給用戶端的HTTP狀態代碼。取值範圍：200~600。預設攔截響應碼為405。不支援設定204、304、600、498。

   • 自定义header：設定用戶端請求被WAF攔截時，WAF在返回給用戶端的響應中包含的Header欄位。每個Header由Header名和Header值組成，最多可配置十個。

   • 页面响应体：設定攔截響應頁面的原始碼。配置要求如下：

     • 支援使用HTML、JSON等格式。

     • 程式碼封裝含的字元長度不超過4000。

   重要

   如需在響應頁面中保留請求ID，用於通過Log Service查詢被攔截的請求，請在適當位置引用{::trace_id::}字串。

   配置樣本

   • 响应码：403。

   • 自定义header：

     • Header名：Content-Type。

     • Header值：text/html; charset=utf-8。

   • 页面响应体：

     <!DOCTYPE html>
     <html>
     <head>
       <meta charset="UTF-8">
       <title>Request Blocked</title>
     </head>
     <body>
       <h1>Access Denied</h1>
       <p>Your request has been blocked by the security policy.</p>
       <p>Request ID: {::trace_id::}</p>
     </body>
     </html>

   滑块页面

   • 名称：設定一個便於識別的名稱。

   • 响应码：用戶端請求命中WAF滑塊規則時，WAF返回給用戶端的HTTP狀態代碼，預設為200。不支援自訂。

   • 自定义header：設定用戶端請求命中WAF滑塊規則時，WAF在返回給用戶端的響應中包含的Header欄位。每個Header由Header名和Header值組成，最多可配置十個。預設包含如下配置，不支援修改。

     • Header名：Content-Type。

     • Header值：text/html; charset=utf-8。

   • 预定义或自定义樣式：設定WAF返回給用戶端的滑塊樣式。支援配置語言、表徵圖、文案、是否透出請求ID等資訊，單擊预览，可查看滑塊驗證頁面效果。

應用於防護規則或防護對象

響應頁面配置完成後，可將其應用於防護規則或防護對象：

• 應用於防護規則：當請求命中該規則時，無論涉及哪些防護對象，均返回該規則綁定的自訂響應頁面。

• 應用於防護對象：當請求訪問該防護對象並命中任意關聯的防護規則時，返回該對象綁定的自訂響應頁面。

若防護規則與防護對象均配置了自訂響應頁面，則以防護規則的配置為準（防護規則優先順序更高）。