本节介绍通过业务Cookie和HWWAFSESID联合配置限制恶意抢购、下载等的最佳实践。 业务场景 场景一： 限制同一个账号切换IP、终端的恶意请求（抢购、下载等）。 防护措施：使用业务 Cookie（或者用户id）基于路径配置CC限速。 场景二： 限制恶意人员在同一个PC多个账号不停切换的恶意请求（抢购、下载等）。 防护措施：使用HWWAFSESID基于路径配置CC限速。 使用业务Cookie（或者用户id）基于路径配置CC限速 步骤 1 登录管理控制台，将您的网站成功接入到WAF。独享模式添加域名的方法：网站接入WAF。 步骤 2 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤 3 在“CC攻击防护”配置框中，确认“CC攻击防护”的“状态”为“开启”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤 4 在“CC攻击防护”规则配置页面左上角，单击“添加规则”。 步骤 5 根据业务情况，使用业务Cookie（或者用户id）基于路径配置CC限速。根据实际情况配置参数。 步骤 6 单击“确认”，完成配置。 使用HWWAFSESID基于路径配置CC限速 步骤 1 登录管理控制台，将您的网站成功接入到WAF。独享模式添加域名的方法：网站接入WAF。 步骤 2 在目标域名所在行的“防护策略”栏中，单击“已开启N项防护”，进入“防护策略”页面。 步骤 3 在“CC攻击防护”配置框中，确认“CC攻击防护”的“状态”为“开启”，单击“自定义CC攻击防护规则”，进入CC防护规则配置页面。 步骤 4 在“CC攻击防护”规则配置页面左上角，单击“添加规则”。 步骤 5 根据业务情况，使用HWWAFSESID基于路径配置CC限速。 “用户标识”：选择“Cookie”，配置为“HWWAFSESID”。 其他参数根据业务实际情况进行配置。 步骤 6 单击“确认”，完成配置。

开源组件Fastjson拒绝服务漏洞，攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。本章节介绍开源组件Fastjson拒绝服务漏洞的最佳实践。 漏洞简介 攻击者可以利用该漏洞，构造恶意请求发给使用了Fastjson的服务器，使其内存和CPU耗尽，最终崩溃，造成用户业务瘫痪。 影响的版本范围 漏洞影响的产品版本包括：Fastjson 1.2.60以下版本，不包括Fastjson 1.2.60版本。 安全版本 Fastjson 1.2.60版本。 官方解决方案 建议用户将开源组件Fastjson升级到1.2.60版本。 防护建议 WAF支持对该漏洞的检测和防护，步骤如下： 步骤 1 申请WAF独享引擎。 步骤 2 将网站域名添加到WAF中并完成域名接入，详细操作请参见网站接入WAF。 步骤 3 将Web基础防护的状态设置为“拦截”模式，详细操作请参见配置Web基础防护规则。

Oracle WebLogic wls9async反序列化远程命令执行漏洞（CNVDC201948814），Oracle WebLogic wls9async组件在反序列化处理输入信息时存在缺陷，攻击者可以发送精心构造的恶意HTTP请求获取目标服务器权限，在未授权的情况下远程执行命令，CNVD对该漏洞的综合评级为“高危”。本章节介绍该漏洞的最佳实践。 漏洞名称 Oracle WebLogic wls9async反序列化远程命令执行漏洞 漏洞编号 CNVDC201948814 漏洞描述 WebLogic wls9async组件存在缺陷，通过WebLogic Server构建的网站存在安全隐患。攻击者可以构造HTTP请求获取目标服务器的权限，在未授权的情况下远程执行命令。 影响范围 Oracle WebLogic Server 10.X Oracle WebLogic Server 12.1.3 官方解决方案 官方暂未发布针对此漏洞的修复补丁。 防护建议 通过WAF的精准访问防护功能，拦截利用该漏洞发起的远程命令执行攻击请求。精准访问防护规则的具体配置方法请参见配置精准访问防护规则。

本章节主要介绍WAF自定义策略。 如果系统预置的WAF权限，不满足您的授权要求，可以创建自定义策略。 目前云服务平台支持以下两种方式创建自定义策略： 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服务、操作、资源、条件等策略内容，可自动生成策略。 JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内容；也可以直接在编辑框内编写JSON格式的策略内容。 WAF自定义策略样例 示例1：授权用户查询防护域名列表 "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "waf:instance:list" ] } ] 示例2：拒绝用户删除网页防篡改规则 拒绝策略需要同时配合其他策略使用，否则没有实际作用。用户被授予的策略中，一个授权项的作用如果同时存在Allow和Deny，则遵循Deny优先。 如果您给用户授予“WAF FullAccess”的系统策略，但不希望用户拥有“WAF FullAccess”中定义的删除网页防篡改规则的权限（waf:antiTamperRule:delete），您可以创建一条相同Action的自定义策略，并将自定义策略的Effect设置为“Deny”，然后同时将“WAF FullAccess”和拒绝策略授予用户，根据Deny优先原则用户可以对WAF执行除了删除网页防篡改规则的所有操作。以下策略样例表示：拒绝用户删除网页防篡改规则。 { { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "waf:instance:list" ] } ] } 多个授权项策略 一个自定义策略中可以包含多个授权项，且除了可以包含本服务的授权项外，还可以包含其他服务的授权项，可以包含的其他服务必须跟本服务同属性，即都是项目级服务。多个授权语句策略描述如下： { "Version": "1.1", "Statement": [ { "Effect": "Deny", "Action": [ "waf:antiTamperRule:delete" ] }, ] }

本文介绍如何删除WAF接入的域名。 域名还未完全接入WAF 如果要删除的防护域名没有完全接入WAF，可直接在域名列表删除防护域名。 域名已接入WAF进行防护 域名接入防护后，用户请求链路如下。如果要删除的防护域名已经接入WAF，请先到DNS服务商处，将该域名重新解析，指向源站服务器地址，然后再删除WAF上接入的域名，从而保证用户业务不中断，否则，如果直接删除WAF上接入的域名，将会导致用户业务不可用。

本文为您介绍如何将对WAF实例进行升级扩容。 开通了云WAF实例后，支持从较低版本的主套餐升级至任一更高版本，可支持根据实际使用需求购买资源扩展包。 系统影响 升级扩容时，原已启用的防护服务不会暂停，对已防护的网站业务无任何影响。 计费说明 计费场景 某用户于2024/04/30购买一套1个月的WAF云SaaS模式标准版，默认规格配置如下： 防护域名数：20个（含2个1级域名） 业务QPS峰值：3000QPS 使用一段时间后，用户发现当前规格无法满足业务需要，于2024/5/15进行升级，升级后规格配置如下： 防护域名数：30个（含3个1级域名），购买了1个域名扩展包 防护带宽：6000QPS，购买了3个业务扩展包 那么在4~5月份，共计花费了多少钱呢？5~6月份，预计会花费多少钱呢？ 计费构成 4~5月实际费用 WAF SaaS模式标准版本费用：3880元/月，实际费用为3880元。 域名扩展包费用：600元/月，因购买时间为5月15日，实际费用为15/30 600300元。 业务扩展费用：1000元/月3个，因购买时间为5月15日，实际费用为15/30 30001500元。 本月实际总计费用为：3880+300+15005680元。 5~6月预期费用 WAF SaaS模式标准版本费用：3880元/月，实际费用为3880元。 域名扩展包费用：600元/月，因购买时间为5月15日，实际费用为600元。 业务扩展费用：1000元/月3个，因购买时间为5月15日，实际费用为3000元。 本月实际总计费用为：3880+600+30007480元。 注意 因资源扩展包需要在主套餐的基础上进行购买，当主套餐停止使用后，资源扩展包也无法使用，故资源扩展包计费时间与主套餐计费时间保持一致。 示例中计算的价格为按月购买的价格，当按年购买时，实际价格以购买详情页具体的折扣价格为准。 因扩容、升配等业务具体购买价格与所购买规格的时长和使用时间有相关性，不同的购买时长和使用时长涉及不同的折扣，故以上示例不完全等同于实际计算价格，详细价格以购买页面显示价格为准。

本文为您介绍通过WAF实现源站容灾备份/主备切换。 在WAF接入域名时，针对权重回源、健康检查两项配置进行精细化配置，您可以完成WAF回源节点的灾备切换以保障业务的正常运行。 基本操作 在WAF配置多个源站服务器地址。 为每个源站设置不同的权重值。 WAF按照权重比例将请求分发到不同源站。 配置健康检查规则。 配置权重回源 1. 登录WAF控制台，参考添加防护对象步骤开启域名接入配置。 2. 在服务器配置模块进行配置回源地址。 说明 可以把主备权重配置成100 和0，这样100%的请求会到主，0%的请求到备（权重为0的回源节点默认不参与回源，但当所有健康回源节点中，仅剩权重为0的节点时，会默认回到配置第一个为0的节点）。当WAF主动健康检查到主节点无法访问，会自动把主节点剔除，然后所有请求切到备节点。从而实现灾备切换。 例如下图：主机地址为192.168.0.1，设置权重为100，备机地址为192.100.0.1，设置权重为0，如果当主动健康检查能力开启后，检查到主机地址无法访问，这样会根据规则会回源至备机地址。 配置健康检查 1. 登录WAF控制台，参考添加防护对象步骤开启域名接入配置。 2. 开启健康检查功能，设置检查间隔、响应超时时间、请求失败失效阈值、失效后恢复健康阈值。 说明 如下图所示配置的话，WAF每30秒检查一次源站的健康情况，当针对源站健康检查失败3次时，WAF会主动将失效的源站剔除回源列表，并将请求按照剩余站点权重比例/轮询转发至剩余健康站点，以此可以得到若较高权重源站出现响应超时，WAF会在（30s + 10s）× 3次 120秒后切换至权重较低且健康的源站。 若回源列表中所有源站健康检查均失败了，为保障业务默认通路WAF将会强制回源至回源列表中顺序为第一个的站点。 源站响应超时切换时间公式：（检查间隔 + 响应超时时间） × 请求失败失效阈值。 源站恢复切换时间公式：（检查间隔 + 响应超时时间） × 失效后恢复健康阈值。

本文指导您如何自定义网站响应页面。 当访问者触发WAF拦截时，系统默认会显示WAF内置的响应页面。 若您需要自定义响应页面的内容和样式，可以参照本文准备自定义页面的内容，然后提交工单联系技术支持进行配置。 前提条件 网站已接入WAF进行防护。 准备工作 您需要准备自定义页面的如下信息： 响应码：自定义页面的返回码。 页面类型：支持text/html、text/xml、application/json类型。 页面内容：根据页面类型准备对应的页面内容。 操作步骤 1. 进入提交工单页面。 2. 在工单页面填写已准备好的自定义页面内容，并提交工单。 3. 等待工单审核，工单审核通过后，技术支持会联系您确认并配置自定义响应页面。 4. 配置完成后，您可以参考以下步骤验证修改效果。 1. 配置Web基础防护规则，将处置动作配置为“拦截”。 2. 模拟攻击者访问防护网站，若攻击被拦截后的返回页面为自定义响应页面的内容，则表示配置成功。

本文介绍当证书链不完整，HTTPS中间证书配置错误时该如何处理。 中间证书是根证书颁发机构CA对中间证书颁发机构的公钥进行数字签名得到的证书。其作用是通过中间证书的私钥来签署最终用户的SSL证书，通过中间根对另一个中间根进行签名，然后CA使用它来对证书进行签名。主流浏览器如Firefox或者Chrome对未安装中间证书的网站可能会作出此链接不受信任的提示，或者安装了安全证书的网站，用手机访问时还是会出现不安全的提示，这些情况都很可能是中间证书链不完整导致的。在WAF控制台上传证书时在证书公钥（PEM格式）输入框输入域名证书拼接中间证书即可，具体拼接格式如下： BEGIN CERTIFICATE 域名证书 END CERTIFICATE BEGIN CERTIFICATE 中间证书 END CERTIFICATE

云主机放通互联网访问，首先设置应用控制策略。本小节介绍安全专区访问策略配置方法。 配置方法： 在【策略】→【访问控制】→【应用控制策略】→【策略汇总】→【新增】： 源 区域：选择“L3untrustA”。 地址：选择网络对象，勾选需要访问互联网的业务云主机对象。 目的 区域：选择“L3untrustA”。 地址：勾选网络对象，选择全部。 服务/应用：勾选服务，需访问的互联网服务端口可选择any全端口。

枚举参数 无 请求示例 请求url 无 请求头header 无 请求体body 无 响应示例 { "returnObj": { "totalCount": 4, "result": [ { "priority": 1, "rate": 1, "itemList": [ { "itemID": "9a702e8ed80c11ed8944525400af7402", "dstCidr": "10.11.0.0/16", "ruleType": "ace", "protocol": "tcp", "apps": [ ], "groupType": "", "dstPortRange": "1/1", "ipVersion": "ipv4", "srcPortRange": "1/1", "srcCidr": "12.10.0.0/16", "itemName": "acerule001" } ], "ruleType": "ace", "ruleID": "9a702de4d80c11ed8944525400af7402" }, { "priority": 2, "rate": 1, "itemList": [ { "itemID": "9a70b28cd80c11ed8944525400af7402", "dstCidr": "10.12.0.0/16", "ruleType": "ace", "protocol": "tcp", "apps": [ ], "groupType": "", "dstPortRange": "1/1", "ipVersion": "ipv4", "srcPortRange": "1/1", "srcCidr": "13.10.0.0/16", "itemName": "acerule002" } ], "ruleType": "ace", "ruleID": "9a70b1b0d80c11ed8944525400af7402" }, { "priority": 3, "rate": 2, "itemList": [ { "itemID": "9a70ed92d80c11ed8944525400af7402", "dstCidr": "", "ruleType": "app", "protocol": "tcp", "apps": [ { "appID": "57004", "appName": "影视TV" } ], "groupType": "system", "dstPortRange": "", "ipVersion": "", "srcPortRange": "", "srcCidr": "", "itemName": "appgroup001" } ], "ruleType": "app", "ruleID": "9a70eca2d80c11ed8944525400af7402" }, { "priority": 5, "rate": 2, "itemList": [ { "itemID": "9a7121a4d80c11ed8944525400af7402", "dstCidr": "", "ruleType": "app", "protocol": "tcp", "apps": [ { "appID": "58004", "appName": "影视TV113" } ], "groupType": "system", "dstPortRange": "", "ipVersion": "", "srcPortRange": "", "srcCidr": "", "itemName": "appgroup002" } ], "ruleType": "app", "ruleID": "9a7120e6d80c11ed8944525400af7402" } ], "currentCount": 4 }, "errorCode": "", "error": "", "message": "", "description": "", "statusCode": 800 }

参数 参数类型 说明 示例 下级对象 result Array of Objects 查询ospf result totalCount Integer 总数量 1 currentCount Integer 当前页数量 1

参数 是否必填 参数类型 说明 示例 下级对象 deviceType 是 String 本参数表示网关形态 取值范围： hardware:硬件 software:软件 hardware baseInfo 是 Object 网关开通基础信息 baseInfo gatewayInfo 否 Object 智能网关资源，当上面的参数deviceTypehareware，此参数必填 gatewayInfo softwareInfo 否 Object 智能网关资源，当上面的参数deviceTypesoftware，此参数必填 softwareInfo addrInfo 是 Object 联系人地址信息 addrInfo addedService 是 Object 增值业务 addedService cycleType 是 String 包周期类型，YEAR/MONTH。必须指定。 MONTH cycleCount 是 Integer 包周期数。onDemand为false时必须指定。周期最大长度不能超过36个月 6

枚举参数 无 请求示例 请求url 无 请求头header 无 请求体body 无 响应示例 { "statusCode": 800, "returnObj": { "result": [ { "ospfIntfIP": "10.1.1.1", "ospfEnable": true, "authEnable": true, "helloTime": 60, "deadTime": 20, "areaID": 1, "routerID": "100.0.0.1", "areaType": "NSSA", "keyID": "1", "mdsKey": "123456" } ], "totalCount": 1, "currentCount": 1 }, "errorCode": "", "error": "", "message": "", "description": "" } 状态码 请参考 状态码 错误码 请参考 错误码

状态码 请参考 状态码 错误码 请参考 错误码

本节介绍科研助手快速入门。 关于如何订购科研助手，详见科研助手快速入门

本文为您介绍科研助手最佳实践。 关于如何通过科研助手使用科研服务、快速生成应用、搭建知识库、进行图像生成等，请参考帮助中心>>科研助手>>最佳实践。

本节介绍应用托管快速入门。 关于如何订购应用托管，详见应用托管快速入门

本节介绍公共算力服务快速入门。 关于如何订购公共算力服务，详见公共算力服务快速入门

本文为您介绍Token服务相关协议。 天翼云为您提供模型推理服务平台服务协议，请您点击查看。 天翼云为您提供模型推理服务用户信息处理规则，请您点击查看。

本节介绍Token服务常见问题。 您在使用模型推理服务时，可根据以下问题分类匹配问题场景和解决方案。 分类 帮助文档 操作类 操作类 计费类 计费类 权限类 权限类

本文为您介绍Token服务最佳实践。 关于如何通过Token服务进行模型推理、部署模型、创建知识库等，请参考帮助中心>>Token服务>>最佳实践。

本节介绍Token服务的使用指南。 产品功能 功能介绍 相关链接 模型体验 模型体验 模型服务 模型服务

本节介绍科研助手常见问题。 您在使用科研助手时，可根据以下问题分类匹配问题场景和解决方案。 分类 帮助文档 应用类 应用类 计费类 计费类 功能类 功能类 技术运维类 技术运维类

本文为您介绍应用托管最佳实践。 关于如何应用托管构建知识库、部署服务等，请参考帮助中心>>应用托管>>最佳实践。

本节介绍训推服务的使用指南。 产品功能 功能介绍 相关链接 训练任务 训练任务 在线服务 在线服务 数据集 数据集 开发机 开发机

本节介绍训推服务常见问题。 您在使用训推服务时，可根据以下问题分类匹配问题场景和解决方案。 分类 帮助文档 计费类 计费类 操作类 操作类

本节介绍应用托管的使用指南。 产品功能 功能介绍 相关链接 应用市场 应用市场 MCP市场 MCP市场 应用实例 应用实例 项目空间 项目空间

参数 参数类型 参数含义 是否必传 备注 aoneSdkToken NSString 返回的sdktoken 是

15、SDK 产品功能所需收集的个人信息说明 个人信息类型 可选/必选 处理目的/功能场景 处理方式 获取IP 必选 用于网络变化的时候重新解析DNS获取ip 仅读取，不保存到本地，也不上传服务器 常见问题 引入aar包后，出现Duplicate class 的错误，如下图所示 原因：因为sdk有依赖一些jar包，如果app工程也依赖相同的jar包会导致冲突，这里需要exclude app 工程的相同的类来解决这类问题，目前sdk层依赖的jar包如下表所示： 库名字 版本 okhttp 4.9.3 okio 2.8.0 gson 2.9.0 datastorepreferencescore 1.0.0 datastorecore 1.0.0 convertergson 2.9.0 logginginterceptor 4.9.3 retrofit 2.9.0 commonsvalidator:commonsvalidator 1.7 org.conscrypt:conscryptandroid 2.5.2 androidx.security:securitycrypto 1.1.0alpha06 androidx.lifecycle:lifecycleruntimektx 2.5.1 com.elvishew:xlog 1.11.1 解决方式：使用 exclude 排除重复的类 如果你知道具体哪些类是重复的（通常可以在错误消息中看到），可以使用 exclude 来排除特定的类。例如，如果 commonlib 引入了重复的类 com.okhttp3，你可以排除该类： dependencies { implementation('com.example:commonlib:1.0.0') { exclude group: 'com.squareup.okhttp3', module: 'okhttp' } } 获取设备id 如果需要获取当前sdk指定的设备指纹（唯一id），则可以调用 DeviceIdUtil.Companion.getUniqueId() 获取当前系统的版本，则可以调用 DeviceIdUtil.Companion.getDeviceOs() 日志路径 如果遇到问题需要协助，开发人员可能会寻求日志定位问题，这里日志的路径的获取有三个方式 方式一、使用如下方法获取日志 VPNApplication.get().getFileLogPath() 方式二、在log中获取，启动后会在tag为Sdk中获取到 在用如上的方法获取到日志路径后，到路径下取出今天的日志发给开发者即可 方式三、日志分享 调用AOneSdkClient.Companion.ShareLog(this) 方法，日志会打包成一个zip文件，并弹出分享面板，可以通过微信等方式分享 / 方法名: ShareLog 描述：这个方法用于Sdk日志的分享,方便快速定位问题 使用线程: 主线程 回调线程: 主线程 使用方法: AOneSdkClient.Companion.ShareLog(this); / public void ShareLog(View view) { AOneSdkClient.Companion.ShareLog(this); } 错误码 错误码 错误提示 建议处置方式 0x10301 隧道资源接口请求失败 联系管理员 0x10302 隧道资源不存在 联系管理员 0x10311 aoneid隧道资源接口请求失败 联系管理员 0x10312 aoneid隧道资源不存在 联系管理员 0x10321 获取解析组接口错误 联系管理员 0x10322 获取解析组域名为空 联系管理员 0x10323 获取解析组ip为空 联系管理员 0x103310x10334 隧道配置接口请求失败 联系管理员 0x10335 隧道配置不存在 联系管理员 0x10336 控制中心无法分配足够客户端ip 联系管理员 0x10337 多镜像中心隧道接口内部错误 联系管理员 0x10341 token接口刷新错误 联系管理员 0x10351 添加设备的接口报错 联系管理员 0x10352 设备未激活 联系管理员，增加设备的激活数量 0x10353 未支持的AuthStatus字段 联系管理员 0x11001 配置转换异常 联系管理员 0x11002 数据转换异常 联系管理员 0x12001 开始认证无Token，一般是Token过期了 1、排查是否登录成功 2、是否正确传递token到sdk，或者token超过了有效期 3、如果还是不行，联系管理员 0x12002 开始认证无用户名 1、排查是否正确传递token到sdk 2、正确传递还是报错则联系管理员 0x12003 开始认证无随机数 1、排查是否正确传递token到sdk 2、正确传递还是报错则联系管理员 0x12004 无权限 app申请VPN权限，用户是否同意了 0x12005 无网络 查看网络是否正常 0X12006 无refreshToken 1、排查是否正确传递token到sdk 2、正确传递还是报错则联系管理员 0X12007 aoneId 用户池id是空的 1、排查是否正确传递token到sdk 2、正确传递还是报错则联系管理员 0X12008 租户id是空的 1、排查是否正确传递token到sdk 2、正确传递还是报错则联系管理员 0X12009 token 错误 1、排查是否正确传递token到sdk 2、正确传递还是报错则联系管理员 0X12010 启动VPN一些配置是错误的 联系管理员 0X12011 初始化token已过期 排除token 是否已经过期了 0X13001 状态错误 联系管理员 0X13002 下线失败 联系管理员 0X13003 初始化错误 联系管理员 0X13004 已经在线 VPN已经是在线状态，又调用了SdkStartVPN导致 建议检查下VPN的状态 0X13005 json 序列化错误 联系管理员 0X13006 json 解析失败 联系管理员 0X13007 未知错误 联系管理员 0X13008 服务端响应错误,一般是502等错误状态码 联系管理员 0X13009 服务端无响应 联系管理员 0X13010 请先传入用户是否同意隐私协议再使用sdk 需要弹出隐私协议确认对话框，并调用的方法AOneSdkClient.Companion.updatePrivacyAgree(true)告知sdk 0X13011 需等待用户同意隐私协议后再使用sdk 用户同意隐私协议后需要调用AOneSdkClient.Companion.updatePrivacyAgree(true);

返回DeepSeek专题导航。

返回DeepSeek专题导航。