- XF兼容
- 2.3.x
适用于 Cloudflare 的会话验证器
通过智能会话验证保护您的 XenForo 论坛
概述
Session Validator for Cloudflare 是一个轻量级的 XenForo 2.2+ 附加组件,可验证用户会话并添加验证标头以用于 Cloudflare 的 Web 应用程序防火墙 (WAF) 规则。这允许您创建复杂的安全规则,以区分经过身份验证的论坛成员、访客和机器人。
主要特点
如何运作
该插件通过检查以下内容来验证 XenForo 会话:
根据验证结果,它设置 Cloudflare 可以在 WAF 规则中使用的 HTTP 标头:
使用案例
通过智能会话验证保护您的 XenForo 论坛
概述
Session Validator for Cloudflare 是一个轻量级的 XenForo 2.2+ 附加组件,可验证用户会话并添加验证标头以用于 Cloudflare 的 Web 应用程序防火墙 (WAF) 规则。这允许您创建复杂的安全规则,以区分经过身份验证的论坛成员、访客和机器人。
主要特点
- 自动会话验证 — 在处理任何内容之前,在请求周期的早期验证 XenForo 会话
- 安全标头 - 添加自定义 HTTP 标头,Cloudflare 可以读取这些标头以识别经过验证的用户
- 灵活的配置 - 使用详细的输出选项控制通过标头公开的信息
- 轻量级性能 - 通过高效的数据库查询和可选的缓存将影响降至最低
- 隐私意识 - 可以禁用详细输出以限制公开的信息
- 爬虫程序保护 - 轻松创建 WAF 规则以阻止恶意爬虫程序,同时允许合法用户
如何运作
该插件通过检查以下内容来验证 XenForo 会话:
- 会话 Cookie(xf_session、xf_user xf_csrf)
- 数据库中的会话活动
- 用户身份验证状态
根据验证结果,它设置 Cloudflare 可以在 WAF 规则中使用的 HTTP 标头:
HTTP:
XF-Verified-User: true
XF-Verified-Session: true
XF-Session-Validated: 1735695120- 阻止攻击性机器人 - 创建规则,在没有有效会话的情况下质询或阻止请求
- 防止 DDoS - 更积极地限制未经身份验证的用户的速率
- 防止内容抓取 - 需要有效的会话才能访问某些内容
- 增强的安全规则 - 根据用户身份验证状态构建复杂的 WAF 规则
- 仅限会员的区域 - 使用 Cloudflare 在边缘实施身份验证
- 示例 Cloudflare WAF 规则
阻止对没有有效会话的附件的请求 -
HTTP:
(http.request.uri.path contains "/attachments/" and not http.request.headers["xf-verified-user"][0] eq "true") Action: Block - 配置选项
- 启用/禁用 - 打开/关闭会话验证
- 活动窗口 - 设置用户被视为活动状态的时长(默认值:24 小时)
- 详细输出 - 包括包含用户详细信息(ID、用户名、员工状态)的其他标头
技术细节
要求- XenForo 2.2.0 或更高版本
- PHP 7.2 或更高版本
- Cloudflare 帐户(Free、Pro、Business 或 Enterprise)
- Cloudflare WAF 规则的基本知识
安装- 下载并解压缩插件
- 上传到 src/addons/WindowsForum/SessionValidator/
- 通过 Admin CP †' Add-ons 安装
- 在管理员 CP †' 选项 †' 会话验证器中配置选项
- 使用提供的标头创建 Cloudflare WAF 规则
支持
此插件根据 MIT 许可证提供。此线程中提供社区支持。
