本文介绍Web应用防火墙(Web Application Firewall,简称WAF)客户端保护与合规功能的使用方法,旨在满足 PCI DSS v4.0 中关于支付页面脚本管理与完整性监控的要求。通过注入配置、脚本授权、检测规则配置及安全事件响应,实现前端脚本的全生命周期安全管理。
功能优势
PCI DSS 合规:针对 PCI DSS 4.0.1 新增的 6.4.3 和 11.6.1 要求,提供脚本维度的管理能力,帮助企业满足合规要求,保障支付卡数据安全。
脚本授权管理:完成注入配置后,自动采集并维护页面加载的脚本清单,确保所有脚本均经授权,并要求说明其业务必要性。
恶意脚本与篡改检测:基于用户实时访问流量,校验脚本完整性;当检测到 HTTP 响应头或脚本内容发生未经授权的变更时,立即触发告警。
申请公测
客户端保护与合规功能目前处于公测阶段,公测期间可免费使用。申请公测请按以下步骤操作。
请使用主账号进行申请公测操作。
包年包月基础版WAF不支持公测申请。
登录Web应用防火墙3.0控制台。在顶部菜单栏,选择WAF实例的资源组和地域(中国内地、非中国内地)。
在左侧导航栏,选择。
单击申请公测,填写并提交公测申请表。我们将审核您的申请,审批通过后即可使用该功能,请耐心等待。
操作步骤
步骤一:为防护对象注入信息采集脚本
为启用客户端保护与合规功能,需向已接入WAF的防护对象注入WAF信息采集脚本。该脚本用于收集当前页面加载的JavaScript信息,并将其回传至WAF。请按以下步骤执行脚本注入操作。
执行以下操作前,请确保已存在防护对象(已将Web业务接入WAF),若尚未将业务接入,请参见接入概述。
进入页签。
单击新增注入,并完成以下配置。
配置项
说明
配置名称
输入一个便于识别的名称。
状态
注入配置的状态,默认开启。
生效防护对象
选择需注入的WAF防护对象。
注入域名与注入路径
输入需注入的域名及路径,支持配置多条路径。
例如,若需注入的业务 URI 为
http://example.com/pay和http://example.com/,则:注入域名填写:
example.com注入路径填写:
/pay和/
说明暂不支持通配符配置,请填写精确域名与路径。
支付页面配置
选择当前配置的页面是否为支付页面。若选择当前注入配置下的路径为支付页面,则系统将对上一步所有配置路径启用response header篡改检测,并视这些路径均为支付页面。
注入率
填写 WAF 对页面进行注入的比例。
验证测试阶段建议设置为 10% 或其他较低比例。
正式上线阶段建议设置为 100%。
步骤二:查看并授权页面使用的脚本
为防护对象注入 WAF 信息采集脚本后,系统将识别目标页面加载的所有脚本,并在页签中展示。对于业务必需的脚本,可执行授权操作。
查看概览信息:
页面上方区域显示脚本总数、支付脚本数量、已授权脚本数量及未经授权脚本数量。
页面下方区域列出已配置注入的防护对象所对应域名使用的脚本。
可通过单击上方总览中的数字,或使用搜索框,对脚本进行筛选。
对脚本进行授权:
定位至目标域名,单击其左侧的
展开图标以显示该域名下的所有脚本。默认情况下,所有脚本的授权状态均为未授权。若某脚本为必要脚本,可单击该脚本操作列中的配置授权,在弹出页面中将其授权状态修改为已授权,并填写必要性说明。查看脚本详情:
定位至目标域名,单击其左侧的
展开图标以显示该域名下的所有脚本,随后单击目标脚本操作列中的查看详情,系统将弹出页面,展示该脚本关联的安全事件、脚本哈希等信息。说明当脚本的哈希值发生变更时,系统将生成脚本篡改事件,并在脚本哈希页签中展示多条记录,分别显示变更前与变更后的哈希值。
步骤三:配置脚本风险行为检测规则
客户端保护与合规功能默认为脚本开启以下检测规则,风险等级均为高危;触发任一规则将生成对应的安全事件。用户可根据实际需求,在页签,调整各规则的检测状态及风险等级。
使用response header篡改检测规则前,需要先开启日志服务,并勾选可选字段response_header。
手动调整规则的检测状态或风险等级后,仅影响后续新增事件;已生成的事件不受影响。
检测规则 | 规则说明 | 处置建议 |
response header篡改 | HTTP Header篡改监测功能专为支付场景设计,通过实时检测支付页面交互中的HTTP响应头完整性,有效防御恶意篡改、注入及伪造攻击,满足PCI-DSS 11.6.1对支付通道安全的合规要求。该功能基于预定义的合规基准和多层次安全策略,动态识别Header字段的异常变更行为(如Content-Security-Policy、X-XSS-Protection等关键头非法值篡改),确保支付过程中数据传输的合法性与可靠性,降低因Header篡改导致的敏感数据泄露或业务逻辑绕过风险。 WAF支持对如下Header字段进行检测:
| 核查告警详情,确认是否存在安全头的非法修改,排查系统风险,确保支付页面的响应头配置符合合规要求。 |
脚本未授权 | 未授权脚本新增监测功能通过动态感知页面脚本清单的变更,可主动识别非业务预期的脚本注入行为(如第三方恶意资源加载、未经审核的代码插入等),确保浏览器端仅执行经安全验证的合法脚本。该能力精准覆盖PCI-DSS 6.4.3对脚本来源可信性的要求,有效规避因非法脚本新增导致的敏感数据采集、会话凭证劫持等风险,并提供完整的脚本加载审计记录,为支付流程中脚本执行的合规性提供可验证依据。 | 对新增的脚本进行审计认证,若确认为非法注入,请立即下线相关页面或阻断脚本加载,排查代码发布流程与第三方依赖管理漏洞,确保脚本纳入白名单管控。 |
脚本篡改 | 针对已授权的业务脚本,WAF实时监测其在传输或执行过程中的异常篡改行为(如代码片段替换、恶意逻辑注入等),通过可信基准比对机制判断触达用户浏览器的脚本是否被污染。严格满足PCI-DSS 6.4.3对脚本完整性的管控要求,防范中间人攻击、Web Skimming利用等威胁,为防护页面构建端到端的脚本防篡改防护体系。 | 核查告警详情,比对脚本与可信基准,确认是否被篡改。若存在污染,请暂停页面、排查入侵点并重新部署合法脚本,同时强化完整性校验。处置及复核建议在7天内完成。 |
恶意脚本 | WAF通过智能恶意脚本检测引擎,动态分析加载的脚本行为特征,可精准识别包含加密货币挖矿、数据窃取、会话劫持等恶意意图的非法脚本,满足PCI-DSS 6.4.3对浏览器端脚本完整性与安全性的合规要求。该功能基于动态风险判定模型,主动感知脚本执行过程中的异常行为链(如未经授权的外部资源调用、隐蔽数据外传等),及时触发安全告警并推荐处置策略,有效防范恶意脚本对支付流程的渗透与破坏,保障用户数据与交易操作的安全性。 | 核查告警详情,排查脚本来源,确认恶意脚本后,阻断脚本执行,同时审查脚本加载策略,强化白名单管控,处置与复核建议在7天内完成。 |
步骤四:查看并处理脚本安全事件
在页签中,可查看所有触发风险检测规则的安全事件,并对这些事件进行处理。
查看事件概览:
页面上方区域显示事件总数,按各事件类型与告警状态进行分类。
页面下方区域列出所有安全事件。
可通过单击上方总览中的数字,或使用搜索框,对事件进行筛选。
处理安全事件:
定位至目标安全事件,单击其事件状态列中的
图标,将状态修改为已处理,然后单击
图标以确认更改。查看事件详情:
定位至目标安全事件,单击其操作列中的查看详情,在弹出页面中查看事件详细信息。若该事件关联未授权脚本,可单击授权,跳转至脚本授权页面进行授权操作。
日常运维
修改注入配置:在注入配置页签中,可调整已配置项的注入率和启用状态。若不再需要 WAF 对某一防护对象提供客户端防护,可删除其对应的注入配置。
配置云监控告警:在左侧导航栏中选择,然后单击客户端保护与合规告警的更多告警方式列的云监控通知,跳转至云监控控制台进行告警配置。配置完成后,可在发生安全事件时通过手机短信或电子邮件接收告警通知。更多信息,请参见配置云监控通知。