API 防护策略是指 WAF 能根据设定的 API 格式和参数,对请求 API 流量进行检查,以过滤和拦截满足规则的非法 API 请求。您可以通过人工登记的方式,设置针对特定 API 路径和请求方法的 API 防护策略,也可以使用 API 自动发现功能,自动记录存在风险的 API 请求行为。
API 防护自动发现当前仅面向企业版及以上版本开放,且开启后需支付对应的功能启用费、QPS 包附加费和弹性 QPS 附加费。详细的计费说明请参考附加功能。
您已将需要防护的网站接入 WAF 实例。接入相关操作,请参见接入方式概述。
支持通过手动添加或者 JSON 文件上传的方式添加 API 防护规则。
手动添加:设置 API 防护策略参数。
参数 | 说明 | 配置示例 |
---|---|---|
API 名称 | API 请求动作的名称。 说明
| 删除文件 |
API 描述 | 填写 API 规则的相关备注。 | 用于防护未经授权的删除操作 |
API 路径 | 填写 API 路径。最多 128 个字符,须符合 swagger PATH 格式,不包含域名和参数。例如: |
|
请求方法 | 选择 API 请求方法,支持 GET、PUT、POST、DELETE、OPTIONS、HEAD、PATCH 和 TRACE。 | DELETE |
执行动作 |
| 拦截 |
规则开关 | 开启或关闭当前规则。 | 开启 |
API 规则 | 填写详细的 API 规则,包括参数名称、参数位置、参数类型和参数范围等。 |
|
文件上传:批量导入 JSON 格式的 API 文件。
说明
WAF 基于智能检测和学习能力,将可能存在风险的 API 请求行为记录为 API 防护规则。
注意
API 防护自动发现当前仅面向企业版及以上版本开放,且开启后需支付对应的功能启用费、QPS 包附加费和弹性 QPS 附加费。详细的计费说明请参考附加功能。
自动发现规则生成后,您可以手动修改执行动作,或是确认规则是否需要采纳。