posts: 更新WAF防护策略文章内容

添加关于关闭HTTP 2.0的防护建议和总结部分
2026-01-31 09:03:18 +08:00 · 2026-01-18 04:29:35 +08:00
parent b94ff7e3e2
commit df1dc0ea09
2 changed files with 15 additions and 2 deletions
--- a/src/content/2026-01-09.md
+++ b/src/content/2026-01-09.md
--- a/src/content/posts/waf.md
+++ b/src/content/posts/waf.md
@@ -1,6 +1,6 @@
 ---
 title: 静态网站也需要WAF？Cloudflare不需要但是EdgeOne/ESA需要！
-published: 2026-01-09T11:34:49
+published: 2026-01-18
 description: 在几周前，我的网站累计被DDoS了约100TB的流量，哪怕我是静态网站，并不会被“打死”，但因为流量过大，还是被EdgeOne取消接入了，其实这件事本不会发生...
 image: ../assets/images/waf.png
 draft: false
@@ -33,8 +33,21 @@ lang: ""

 对于 **速率限制** 。真实访客不会进你站疯狂按F5短时间刷大量请求

-对于 **JS质询** 。真实访客是用 **浏览器** 访问的，而不是 **curl** **wget** **okhttp** **httpx** 等无JS执行模块的轻 **请求发生器** 访问的
+对于 **JS质询** 。真实访客是用 **浏览器** 访问的，而不是 **curl** **wget** **okhttp** **httpx** 等无JS执行模块的轻 **请求发生器** 访问的，所以建议开启全站JS拦截

+接下来才是重磅的，如果你的站被刷特别严重，尽管在L7全拦截住了，但是流量还是止不住的被刷刷刷，那就不要犹豫，**关闭CDN的 HTTP 2.0** 
+
+这是什么原理？我们都知道，在HTTP 2.0，引入了 **连接复用** ，也就是在一个TCP连接里面可以发很多HTTP请求，这无疑降低了攻击成本
+
+**经过实测，关闭HTTP 2.0后，攻击者从1分钟刷50G暴跌到了10分钟刷5G** 
+>视频： https://www.bilibili.com/video/BV1paryBeEbP/
+
+# 总结：如何成为最耐刷的网站？
+
+1. 拦截海外
+2. 所有请求JS质询（注意不要质询到API）
+3. 设置速率限制
+4. 关闭CDN的HTTP 2.0
 # 奇技淫巧

 ### ESA禁海外访问