概述
人机校验页是一项基于客户端环境验证的主动防御功能。该功能旨在通过强制性的交互式验证,识别并过滤自动化脚本流量,验证业务访问者为正常用户。
启用该功能后,EdgeOne 将对目标范围内的所有 HTTP/HTTPS 请求执行会话票据(Session Ticket)校验。未携带有效票据的请求将被拦截,并响应包含人机校验组件的 HTML 页面。客户端完成交互验证后,系统将颁发凭证,允许后续请求通过。
功能适用范围
适用场景
建议在以下场景中启用:
1. 限制常见爬虫:针对高频次的自动化抓取行为,且常规 IP 拦截和速率限制策略失效时。
2. 应用层 DDoS 缓解:服务器遭遇突发性应用层攻击(例如 CC 攻击),需通过高交互成本清洗恶意流量,保障源站可用性。
3. 关键路径防护:保护登录、注册、领券等高价值接口,防止自动化脚本撞库或批量刷取。
客户端环境要求
人机校验页要求客户端至少满足要求:
支持 HTTP Cookie 的读取与回传。
具备完整的 HTML 渲染 与 JavaScript 执行 能力。
不兼容的部署场景
若您的站点有以下访问场景,请勿直接在站点中启用人机校验页。请确保在测试站点中验证兼容性后,才在生产站点启用本功能。
注意:
若您的站点存在不兼容的部署场景,直接启用人机校验页可能导致服务中断。
API 服务调用:供第三方程序或脚本(如 cURL, Python requests, Postman)调用的 RESTful/GraphQL 接口。客户端无法处理 HTML 响应及 JS 交互,会导致 JSON 解析错误。
原生移动端 App (Native App):未使用 WebView 组件或无法与网络层共享 Cookie 的原生应用。App 将接收到 HTML 代码而非业务数据,导致请求失败。
原生小程序:小程序网络请求(如 wx.request)不支持 DOM 操作与 HTML 渲染,无法完成人机交互。
非浏览器静态资源加载:被邮件客户端、RSS 阅读器等非标准浏览器环境直接引用的图片或 CSS 资源。
如有上述场景,建议采用以下方式之一:
使用独立域名部署浏览器访问的业务,与上述不兼容业务场景使用不同的域名,仅在浏览器访问的域名中开启人机校验页。
使用客户端认证(Beta)功能,部署爬虫管理策略。
搜索引擎 SEO 注意事项
如有 SEO(搜索引擎排名结果优化)的需要,请确保开启人机校验页前,已部署针对搜索引擎爬虫的例外规则。
如需保持 SEO 收录和排名,请在例外规则中配置规则,对
User-Agent 包含搜索引擎标识(如 Googlebot, Bingbot)的请求配置 跳过 BOT 管理模块 处置动作。说明:
未添加例外规则时,人机校验页将阻断搜索引擎爬虫的抓取请求,因为标准爬虫通常不执行 JavaScript。
功能说明
人机校验页使用了以下基本机制:
全量拦截与验证:生效范围内,所有未持有有效凭证的请求均会被重定向至校验页面。
客户端依赖:认证和票据校验逻辑依赖客户端的 JavaScript 执行环境与 Cookie 存储能力。
状态保持:验证通过后,EdgeOne 会向客户端写入加密的 Cookie 作为会话票据。后续请求携带该 Cookie 即可在有效期内免于验证。
数据采集与合规使用指南
示例场景
您在 Web 安全分析模块内,观察到
www.example.com站点下,图片资源/download/welcome.png有大量访问,这些 IP 来自几个聚集网段,且没有访问网站主页,直接访问了资源,占用了大量带宽,但是由于访问 IP 较多,单个 IP 请求次数仅为 1-2 次。从访问特征判断,疑似使用分布式 BOT 滥用下载带宽。为加固安全策略,同时考虑到站点仅需支持浏览器访问,在确认了搜索引擎爬虫已经加入例外规则后,开启人机校验页拦截 Bot 访问。操作步骤
1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,进入服务总览,单击网站安全加速内需配置的站点。
2. 单击安全防护 > Web 防护。默认为站点级防护策略,单击域名级防护策略 Tab,在域名级防护策略中,单击目标域名进入目标域名防护策略配置界面,例如:
www.example.com。3. 定位到 Bot 管理卡片,单击人机校验页下方的开关,启动功能。
