開場白
網站上線後,最常遇到的不是「被駭入資料庫」,而是掃描器、機器人與濫用流量。本篇聚焦 Cloudflare Free 方案的「點選式」配置,搭配 Vercel/GitHub Pages 等託管平台,建立零成本、足夠好、可維護的前門防護。
本日為觀念與清單日(非實作日;實作僅安排在每 7 的倍數天)。
一﹑流程概覽
訪客 → Cloudflare(CDN/反代/WAF/規則)→ 託管平台(Vercel/GitHub Pages/Netlify)
Cloudflare 先過濾惡意流量、強制 HTTPS、附加安全標頭;乾淨流量才會抵達你的站點。
二﹑Cloudflare 必備配置
1) WAF 受管規則(Managed Rules)
- 功能:攔阻常見攻擊樣型與掃描器跡象
- 心法:先開啟預設規則集,再依誤攔情形調整動作(Block/Challenge)
2) Bot 防護
- 功能:對抗常見爬蟲與低階機器人(表單洗量、內容抓取)
- 心法:先用 Bot Fight Mode(Free);若仍被洗,再評估進階選項
3) 速率限制(Rate Limiting)
- 功能:對敏感路徑設定「每 IP/每分鐘」的頻率門檻
- 推薦路徑:
/login
、/api/*
、/submit
(表單)
- 心法:先擋異常高頻,再針對誤殺調高門檻
4) 全站 HTTPS
- 功能:自動將
http
導向 https
,避免明文傳輸
- 心法:與託管平台的自動憑證搭配,少碰手動憑證維護
三﹑常見踩雷與排除
-
一上 CSP 就整站壞:先用
default-src 'self'
,依瀏覽器 Console 錯誤逐項加白名單
-
只有 HTTPS 就以為安全:HTTPS 只保護傳輸;XSS/掃描器仍需 WAF + CSP + 速率限制共同防
-
表單被洗:同時啟用 Rate Limiting + Bot Fight Mode +(可選)Turnstile
-
源站被繞過:限制僅允許 Cloudflare 來源,或直接用 Cloudflare Tunnel,避免直打伺服器 IP
驗收方式(量化)
- 瀏覽器 DevTools → Network/Headers:可見 HSTS/X-Frame-Options/CSP 等標頭
- Cloudflare Security/Overview:WAF 與 Bot 攔截有統計數據
- 對
/api
或表單路徑做高頻請求:能觸發 Rate Limiting
- 以 Mozilla HTTP Observatory 檢查:確認缺失標頭並持續調整(分數僅供參考)
小結
以 Cloudflare Free+託管平台+安全標頭+入門規則,能在零成本下拿到約 80% 的前門防護收益。對大學生專題與架設網站而言,這是一套簡單、立即、可維護的「最小可行安全佈署」。