背景与价值
部分追踪域使用CNAME伪装为一方子域。解析并识别CNAME链可阻断伪装外联并提升隐私保护。
统一规范
- 白名单:仅允许受控终端域;
- 规则集:维护已知追踪终端列表;
- 审计:记录命中规则的解析结果与来源。
核心实现
规则与解析占位
type CnameChain = string[] // e.g., ['track.example.com','tracker.vendor.com']
const denyEnds = new Set(['tracker.vendor.com','analytics.bad.example'])
const allowEnds = new Set(['assets.example.com','cdn.example.com'])
function blocked(chain: CnameChain): boolean {
const end = chain[chain.length - 1]?.toLowerCase() || ''
if (denyEnds.has(end)) return true
if (!allowEnds.has(end)) return true
return false
}
function audit(domain: string, chain: CnameChain, blockedFlag: boolean): void { void domain; void chain; void blockedFlag }
落地建议
- 对外联域进行解析并获取CNAME链,终端域命中追踪列表或非白名单一律阻断。
- 维护规则集与审计,持续收敛风险来源并更新白名单。
验证清单
- 终端域是否在白名单内;是否命中追踪规则并被阻断;审计是否记录。
发表评论 取消回复