在App中完成SDK接入后,您需要在爬虫风险管理控制台进行SDK防护配置,配置需要防护的路径和版本。

SDK的完整接入流程如下:
  1. 在App上完成SDK集成操作,具体请参见iOS SDK集成指南Android SDK集成指南
  2. 在爬虫风险管理控制台中配置防护路径。具体请参见配置路径防护
  3. 使用集成了SDK的App发送测试请求,并通过响应和日志分析调试错误和异常,直到确认正确集成。
  4. 发布正确集成SDK的新版本App,并在爬虫风险管理控制台中开启防护。具体请参见开启APP增强防护
    说明 发布新版本App时,建议您进行强制更新,否则老版本App依然存在安全风险。

配置路径防护

通过配置防护路径指定要防护的地址,并在其下产生防护规则。

操作步骤
  1. 登录爬虫风险管理控制台
  2. 防护配置 > APP增强防护页面,选择要配置的域名。
  3. 路径防护下,单击添加
  4. 新增路径规则对话框中,完成以下配置。
    说明 建议您在测试阶段设置全路径防护(使用前缀匹配“/”),并将处置动作设置为观察(如果是测试域名,可以设置为拦截)。这样可以在不影响线上业务的前提下进行调试。
    配置项 说明
    规则名称 必填,为该规则命名。
    防护路径配置
    • Path :必填,要防护的路径地址。使用“/”表示全路径。
      说明 POST请求的body长度超过8k的情况下,可能会造成验签失败。如果该类型接口没有防护必要(如上传大图片等),建议不要经过SDK防护;如确实有防护必要,请钉钉联系阿里云工程师处理。
    • 匹配方式 :支持前缀匹配精确匹配

      前缀匹配匹配指定路径下的所有接口,精确匹配只匹配指定路径。

    • 参数包含:要防护的路径下包含固定参数时,指定要匹配的参数内容,更准确地定位接口。参数内容指请求地址中问号后面的内容。

      示例:假设要防护的URL包括域名/?action=login&name=test。您可以将Path设置为“/”,匹配方式设置为“前缀匹配”,并在参数包含中填写“name”或者“login”或者“name=test”或者“action=login”。

    防护策略
    • 非法签名:默认勾选(不支持取消),验证对指定路径的请求的请求签名是否正确。签名不正确则命中。
    • 模拟器:(建议勾选)勾选后,检测用户是否使用模拟器对指定路径发起请求。使用模拟器则命中。
    • 代理:(建议勾选)勾选后,检测用户是否使用代理工具对指定路径发起请求。使用代理工具则命中。
    处置动作 对命中防护策略的用户请求执行的操作。
    • 观察: 只记录日志,不阻断请求。
    • 阻断: 阻断请求,返回405状态码。
    自定义加签字段 启用自定义加签字段后,系统将根据所设置的需要加签的请求字段和对应的字段值进行加签验证,判断是否命中该防护策略。


  5. 单击确定完成新增。

    已添加规则支持编辑删除

(可选)配置版本防护

通过配置版本防护可以拦截来自非官方App的请求。如果您需要验证App合法性,可通过配置该策略实现。
说明 如果不需要进行App合法性验证,则可不配置版本防护策略。
操作步骤
  1. 登录爬虫风险管理控制台
  2. 防护配置 > APP增强防护页面,选择要配置的域名。
  3. 版本防护下,开启仅允许指定版本通过开关。
    说明 如需取消版本防护,在此处关闭仅允许指定版本通过开关。
  4. 新增版本规则对话框中,完成以下配置。
    配置项 描述
    规则名称 为该规则命名。
    合法版本
    • 指定合法包名:必填,指定合法的App包名称。例如,com.aliyundemo.example
    • 包签名:联系阿里云相关安全技术人员获取。
      说明 注意此处填写的不是App证书签名。
      说明 如果无需验证对应的App包签名,则无需设置包签名项,将只验证所设定的合法App包名称。

    单击新增合法版本可以添加最多5条版本记录,包名称不允许重复。目前不区分iOS和Android,合法的记录都可以填写进去以匹配多个包名。

    非法版本的处置操作
    • 观察:只记录日志,不阻断请求。
    • 阻断:阻断请求,返回405状态码。


  5. 单击确定完成新增。

    已添加规则支持编辑

开启App增强防护

通过调试,确定已在App中正确集成SDK并发布新版App后,您需要开启App增强防护,使防护配置生效。
  1. 登录爬虫风险管理控制台
  2. 防护配置 > APP增强防护页面,选择要配置的域名。
  3. 开启生效状态开关。
    注意 未集成SDK或未调试完成前,请不要为生产环境中的域名开启阻断模式;否则可能会因为SDK没有正确集成导致合法请求被拦截。在测试接入阶段,可以开启观察模式,通过日志调试SDK集成。


更多帮助

通过钉钉软件扫描该二维码,加入技术支持群。您可以直接向安全专家咨询关于爬虫风险管理使用的任何技术问题或紧急问题。
说明 请参考钉钉官网,下载并安装钉钉即时通信软件。