開場白

網站上線後，最常遇到的不是「被駭入資料庫」，而是掃描器、機器人與濫用流量。本篇聚焦 Cloudflare Free 方案的「點選式」配置，搭配 Vercel／GitHub Pages 等託管平台，建立零成本、足夠好、可維護的前門防護。

本日為觀念與清單日（非實作日；實作僅安排在每 7 的倍數天）。

一﹑流程概覽

訪客 → Cloudflare（CDN／反代／WAF／規則）→ 託管平台（Vercel／GitHub Pages／Netlify）
Cloudflare 先過濾惡意流量、強制 HTTPS、附加安全標頭；乾淨流量才會抵達你的站點。

二﹑Cloudflare 必備配置

1) WAF 受管規則（Managed Rules）

• 功能：攔阻常見攻擊樣型與掃描器跡象
• 心法：先開啟預設規則集，再依誤攔情形調整動作（Block／Challenge）

2) Bot 防護

• 功能：對抗常見爬蟲與低階機器人（表單洗量、內容抓取）
• 心法：先用 Bot Fight Mode（Free）；若仍被洗，再評估進階選項

3) 速率限制（Rate Limiting）

• 功能：對敏感路徑設定「每 IP／每分鐘」的頻率門檻
• 推薦路徑：/login、/api/*、/submit（表單）
• 心法：先擋異常高頻，再針對誤殺調高門檻

4) 全站 HTTPS

• 功能：自動將 http 導向 https，避免明文傳輸
• 心法：與託管平台的自動憑證搭配，少碰手動憑證維護

三﹑常見踩雷與排除

• 一上 CSP 就整站壞：先用 default-src 'self'，依瀏覽器 Console 錯誤逐項加白名單
• 只有 HTTPS 就以為安全：HTTPS 只保護傳輸；XSS／掃描器仍需 WAF + CSP + 速率限制共同防
• 表單被洗：同時啟用 Rate Limiting + Bot Fight Mode +（可選）Turnstile
• 源站被繞過：限制僅允許 Cloudflare 來源，或直接用 Cloudflare Tunnel，避免直打伺服器 IP

驗收方式（量化）

1. 瀏覽器 DevTools → Network/Headers：可見 HSTS／X-Frame-Options／CSP 等標頭
2. Cloudflare Security/Overview：WAF 與 Bot 攔截有統計數據
3. 對 /api 或表單路徑做高頻請求：能觸發 Rate Limiting
4. 以 Mozilla HTTP Observatory 檢查：確認缺失標頭並持續調整（分數僅供參考）

小結

以 Cloudflare Free＋託管平台＋安全標頭＋入門規則，能在零成本下拿到約 80% 的前門防護收益。對大學生專題與架設網站而言，這是一套簡單、立即、可維護的「最小可行安全佈署」。