阿里云防止网站敏感信息（个人的如身份证号手机号、服务器的如版本信息、他人的信息如越权查看）泄漏——通过规则匹配做避免身份证、银行卡、电话号码等敏感数据泄露；针对服务器返回的异常页面或关键字做信息保护。

防敏感信息泄漏是Web应用防火墙针对网安法提出的“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告”所给出的安全防护方案。

前提条件

说明本文介绍的防敏感信息泄露功能不适用2020年1月发布的新版控制台界面。如果您使用在此日期后开通的Web应用防火墙实例，请参见防敏感信息泄露。

按量付费开通的Web应用防火墙实例，必须在功能与规格设置中开启网页防篡改、敏感信息防泄露。更多信息，请参见功能与规格配置（按量付费模式）。
已完成网站接入。更多信息，请参见业务接入WAF配置。

背景信息

防敏感信息泄漏功能针对网站中存在的敏感信息（尤其是手机号、身份证、信用卡等信息）泄漏、敏感词汇泄露提供脱敏和告警措施，并支持拦截指定的HTTP状态码。

网站中常见的造成信息泄漏的场景包括：

URL未授权访问（例如，网站管理后台未授权访问）。
越权查看漏洞（例如，水平越权查看漏洞和垂直越权查看漏洞）。
网页中的敏感信息被恶意爬虫爬取。

针对网站中常见的敏感信息泄露场景，防敏感信息泄漏提供以下功能：

针对网站页面中出现的个人隐私敏感数据进行检测识别，并提供预警和屏蔽敏感信息等防护措施，避免网站经营数据泄露。这些敏感隐私数据包括但不限于身份证号、手机号、银行卡号等。
针对有可能暴露网站所使用的Web应用软件、操作系统类型，版本信息等服务器敏感信息，支持一键拦截，避免服务器敏感信息泄露。
根据内置的非法敏感关键词库，针对在网站页面中出现的相关非法敏感词，提供告警和非法关键词屏蔽等防护措施。

防敏感信息泄露通过检测响应页面中是否带有身份证号、手机号、银行卡号等敏感信息，发现敏感信息匹配命中后，根据所设置的匹配动作进行告警或者过滤敏感信息。其中，敏感信息过滤动作以*号替换敏感信息部分，从而达到保护敏感信息的效果。

防敏感信息泄露功能支持的Content-Type包括text/*、image/*、application/*等，涵盖Web端、app端和API接口。

操作步骤

登录Web应用防火墙控制台。
在页面上方选择Web应用防火墙实例的地域（中国大陆、海外地区）。
在左侧导航栏，单击管理 > 网站配置。
选择要操作的域名，单击其操作列下的防护配置。
定位到防敏感信息泄露配置区域，开启状态开关，并单击前去配置。
单击新增规则，添加敏感信息防护规则。
说明在规则设置对话框中，您可以单击并且增加URL匹配条件实现对特定URL进行匹配检测。
- 敏感信息过滤：针对网站页面中可能存在的电话号码和身份证等敏感信息，配置相应的规则对其进行过滤或告警。例如，您可以通过设置以下防护规则，过滤手机号和身份证号敏感信息。
  配置该防护规则后，该网站域名中的所有页面中的手机号和身份证号都会自动脱敏，效果如下图所示。
  
  说明网站页面中的商务合作电话、举报电话等需要对外公开的手机号码，也可能被所配置的手机号敏感信息过滤规则所过滤。
- 状态码拦截：针对特定的HTTP请求状态码，可配置规则将其拦截或者告警，避免服务器敏感信息泄露。例如，您可以通过设置以下防护规则，拦截HTTP 404状态码。
  配置该防护规则后，当请求一个该网站域名中不存在的页面时，返回特定拦截页面，效果如下图所示。
- 针对特定URL页面中的敏感信息过滤：针对特定URL页面中存在的电话号码和身份证等敏感信息，配置相应的规则对其进行过滤或告警。例如，您可以通过设置以下防护规则，过滤admin.php页面中的身份证号敏感信息。
  配置该防护规则后，仅admin.php页面中的身份证号信息被脱敏。
成功添加规则后，您可以编辑或删除规则。