请求屏蔽

功能说明

request-block 插件实现了基于 URL、请求头等特征屏蔽 HTTP 请求，可以用于防护部分站点资源不对外部暴露。

配置字段

配置示例

屏蔽请求 URL 路径

block_urls:
- swagger.html
- foo=bar
case_sensitive: false

根据该配置，下列请求将被禁止访问：

curl http://example.com?foo=Bar
curl http://exmaple.com/Swagger.html

屏蔽请求 Header

block_headers:
- example-key
- example-value

根据该配置，下列请求将被禁止访问：

curl http://example.com -H 'example-key: 123'
curl http://exmaple.com -H 'my-header: example-value'

屏蔽请求 Body

block_bodies:
- "hello world"
case_sensitive: false

根据该配置，下列请求将被禁止访问：

curl http://example.com -d 'Hello World'
curl http://exmaple.com -d 'hello world'

对特定路由或域名开启

# 使用 matchRules 字段进行细粒度规则配置
matchRules:
# 规则一：按 Ingress 名称匹配生效
- ingress:
  - default/foo
  - default/bar
  block_bodies:
  - "hello world"
# 规则二：按域名匹配生效
- domain:
  - "*.example.com"
  - test.com
  block_urls:
  - "swagger.html"
  block_bodies:
  - "hello world"

此例 ingress 中指定的 default/foo 和 default/bar 对应 default 命名空间下名为 foo 和 bar 的 Ingress，当匹配到这两个 Ingress 时，将使用此段配置； 此例 domain 中指定的 *.example.com 和 test.com 用于匹配请求的域名，当发现域名匹配时，将使用此段配置； 配置的匹配生效顺序，将按照 matchRules 下规则的排列顺序，匹配第一个规则后生效对应配置，后续规则将被忽略。

请求 Body 大小限制

当配置了 block_bodies 时，仅支持小于 32 MB 的请求 Body 进行匹配。若请求 Body 大于此限制，并且不存在匹配到的 block_urls 和 block_headers 项时，不会对该请求执行屏蔽操作。 当配置了 block_bodies 时，若请求 Body 超过全局配置 DownstreamConnectionBufferLimits，将返回 413 Payload Too Large。