转眼，CoCo已经三周年了...... However,停更,Bug,限制...... ###### CoCo界面看的不舒服？ ##### 手机无法使用CoCo？ #### 自定义控件没法协作？ ### 自定义控件没法分享？ ## 别担心，Oldsquaw-CoCoPro来帮你！ # 匠心打造，功能+++++ **[What can it do?]** 1.美化界面，圆角，更舒服[由Suda贡献代码] 2.99.9%还原原版CoCo功能，支持登录与云端保存 3.全新添加CoCoClick，让手机用户也可添加控件[由小宏XeLa贡献代码] 4.内置仿真F12控制台Eruda，手机也可改元素/抓包拉[来自Github开源项目] 5.增加高级协作功能，专属协作链接，一键解决添加自定义控件无法协作问题 6.预置绕审核控件，完美快速解决自定义控件无法分享h5问题[由透明质酸钠贡献代码] 7.彩蛋、黑暗模式、控件商城......更多隐藏玩法，等你来探索！更多实用功能，敬请期待！ **【How to use?】** a.测试版链接：oldsquaw.rth10.com/1.5.0.html  (由于不可抗拒因素，使用需完成人机验证） b.正式版链接：run.oldsquaw.cn  (由于部署较慢，还未更新到最新版） **【What else?】** 1.日更版官网：https://oldsquaw.rth10.com 2.正式版官网：https://web.oldsquaw.cn 3.论坛：https://discuss.oldsquaw.cn 4.AI控件编写助手MaxWidget：https://chatglm.cn/share/FWVsd 【Who are we?】 我们是Oldsquaw团队， Gitee仓库：https://gitee.com/oldsquaw QQ群号：***907170983*** [鸣谢] 开发：耗子、小宏XeLa、Galaxy、透明质酸钠、Suda、琦琦 测试&支持：CoCo中控台、StarDreamNet、以及所有来自CoCo的小伙伴 赞助：Galaxy、旁观者JErS、飞飞N0MT、曦予、and so on...(由于时间久远，若有遗漏可私聊补充）

#### 关于账户 [新链接]编程猫社区账户申诉 https://forms.office.com/r/vWFdmqnqdN #### 关于作品 [新链接]编程猫社区作品审核申述 https://forms.office.com/r/EVLmu1fU6m 你猫官方**死得差不多了**，所以石榴在这里公布一下**新的反馈地址**，有问题加QQ:3803746525 两个表格会在7~14天内提交给官方处理

## 前言 鉴于本站且各友站近期持续受到大规模网络攻击，编写了本篇防护指南。 ***若有误还请在评论区批评指正*** ## 正文 ### 隐藏源站 网站防护的关键就在于源站。 **请遵循一个基本原则：*隐藏源站*** #### CDN 本文推荐的是本站正在使用的[腾讯边缘加速平台EdgeOne](https://cloud.tencent.com/act/pro/edgeone_techoday_promotion?from=22063 "腾讯边缘加速平台EdgeOne") **(声明：本站与该产品*无利益关系*，仅推荐。下文对该产品的称呼简称EO)** 隐藏源站的基本方式就是使用**CDN（Content Delivery Network）**。但不恰当的CDN配置也可能会让你的源站保护形同虚设。以下是几个例子: 1. 未设置CDN缓存 表现：  - 静态资源在访问时，CDN发回的Cache响应头为MISS（即未击中缓存）  - 动态资源在访问时，无论刷新多少次，CDN发回的Cache响应头都为MISS（即未击中缓存） 问题：让CDN在接受到每次访问时都会回源，本质上与直接绑定源站IP并没有区别。在遇到高并发情境下，有时用户体验甚至比直接绑定源站IP更差。 解决方法： - 在CDN面板中配置好静态缓存，一般推荐缓存3600秒（1小时）。 - 在CDN面板中配置好动态缓存，一般推荐缓存少于10秒。 - 缓存配置后，在CDN面板进行刷新预热，让缓存生效（需要CDN面板支持）。 - 针对不同情景，动态配置CDN缓存（需要CDN面板支持）。 解决后的响应：   2. 未设置CDN防CC规则 表现： - 在大流量的访问时，CDN没有击中防CC规则，直接回源或使用缓存。 问题： 在明知出现攻击时无动于衷，容易使攻击者和源站服务器两败俱伤，伤敌一千自损一千。 解决方法： - 在CDN后台配置防CC规则，推荐使用JS质询。 - 根据请求的数量，动态提升防CC等级 3. 未设置地域限制 表现： - 在遭受网络攻击时，出现了大量其他国家的请求 解决办法： - 在CDN层面+源服务器层面设置地域限制，将极少或没有访客的地区封禁 ------------ #### 防止泄露IP 在另一方面要防止泄露源站IP。 主要泄露途径有： - 截图时不慎泄露 - 不慎上传了泄露了包含源站IP的文件 - 通过SSL证书泄露 - 扫段时设置HOST暴力尝试 **前两种泄露途径可以通过提高自身的防护意识解决** 那么如何解决后两种呢？ ##### SSL - 原理：通过证书中的域名信息，攻击者可以建立`域名-IP`的对应关系。 > 例如： - 主要情况有两种： 1. 已接入CDN > 在此情况下泄露一般是因为站长在回源时使用HTTPS回源，在回源端口上设置了包含真实域名信息的SSL证书 2. 未接入CDN > 在此情况泄露一般是因为站长在443端口上设置了包含真实域名信息的SSL证书 **总之一句话：非必要不要在源服务器上设置包含真实域名信息的SSL证书** ***那么如何自查呢？*** - 可以在 [censys.io](https://search.censys.io/ "censys.io") 或 [FOFA网络空间测绘](https://fofa.info/ "FOFA网络空间测绘") 上搜索自己的网站域名，如果有自己的源IP信息请及时采取以下措施： 1. 更换源服务器IP 2. 将已经配置的SSL证书删除 ##### 防止暴力扫描 - 可以在源服务器上设置`仅允许请求头包含某信息`的请求链接，这一部分在后文提到。 ### 源站死扛 还有一部分站点使用的是**高防服务器**，面对大量流量也不会有较大影响。 缺点：价格较高 ------------ ### 端口 请遵循一个基本原则：**仅开放必要端口**，防止给攻击者可乘之机。 必要端口举例： - 22（可更改）SSH链接端口 - 80/443/其他 网站服务端口 - 管理面板端口（可选，也可以关闭后自行搭建反代服务实现外网安全访问） ### 防火墙 一款成熟的网络防火墙可以过滤掉入站的非法请求，比如`Shell命令`、`SQL注入`、`XSS注入`，还可以过滤掉机器人的请求。 本文推荐本团队正在使用的 [雷池WAF社区版](https://waf-ce.chaitin.cn/ "雷池WAF社区版") **(声明：本站与该产品*无利益关系*，仅推荐。下文对该产品的称呼简称雷池WAF)** 其标语是“基于智能语义分析的下一代 Web 应用防火墙，**不让黑客越雷池一步**” 截止至本文撰稿时已有 **164,614次** 的装机量。 其 [GitHub仓库](https://github.com/chaitin/SafeLine "GitHub仓库") 也已获得10.9k的Stars 雷池WAF能够实现频率限制和过滤请求 如图：  **根据相关教程配置后即可** 注意：在接入CDN后**请勿使用HTTPS回源**且**勿在雷池的网站防护端口上设置包含真实域名信息的SSL证书**，原因在前文中谈过。 而为了防止暴力扫描可以在`防护配置`->`自定义规则`->`添加规则`中 1. **选择**`黑名单`； 2. 配置`匹配模板`为`Header`，`匹配方式`为`不等于`，`参数名`自己随便设置一个**不重复**且**符合规范**的就行，`参数内容`自己设置； > **警告：该配置请勿泄露** 3. （本文用 **腾讯EO** 和 **CloudFlare** 举例） - **腾讯EO**： 在EO站点选择之后，于 **规则引擎** 中添加一个规则，设立条件请根据实际情况，操作为`修改 HTTP 回源请求头`，`头部名称`和`头部值`请根据刚才在 **雷池WAF** 中的配置填写； - **CloudFlare**： 在**CF** 站点选择后`规则`->`转换规则`->`修改请求头`->`创建规则`，填写完基本信息和触发条件后，选择`设置静态`，`标头名称`和`值`请根据刚才在 **雷池WAF** 中的配置填写。


### 小结 经过了快一个月的修整，基于WordPress的个人博客**[https://codekpy.cloudroo.top/?p=25](https://codekpy.cloudroo.top/?p=25 "戳戳我")**终于完工辣。 这个博客使用腾讯云EdgeOne+雷池Waf+源站的搭建模式，访问流量应该不是很大，所以用一台小机应该也够了吧。 ### 缺点 因为WordPress这个项目做得十分完善，导致其中的引用资源十分庞大，非常考验腾讯EO的缓存设置和源站的性能，有的时候编辑一下博客内容都会白屏，不过在访问流量小的情况下基本也够用了。