DNS over HTTPS（DoH）与DNS安全策略最佳实践

# DNS over HTTPS（DoH）与DNS安全策略最佳实践 ## 概述 DoH提供加密的DNS解析通道。结合解析器白名单与缓存治理，可提升隐私与安全性。 ## DoH查询示例 ```typescript async function dohQuery(name: string, type: string): Promise { const endpoint = 'https://cloudflare-dns.com/dns-query' const url = `${endpoint}?name=${encodeURIComponent(name)}&type=${encodeURIComponent(type)}` const res = await fetch(url, { headers: { 'accept': 'application/dns-json' } }) return await res.json() } ``` ## 解析器白名单 ```typescript function resolverAllowed(endpoint: string): boolean { const allow = ['https://cloudflare-dns.com/dns-query', 'https://dns.google/dns-query'] return allow.includes(endpoint) } ``` ## 缓存治理 ```typescript class DnsCache { store = new Map() set(key: string, value: any, ttlMs: number) { this.store.set(key, { value, expiresAt: Date.now() + ttlMs }) } get(key: string): any | null { const v = this.store.get(key) if (!v) return null if (Date.now() > v.expiresAt) { this.store.delete(key); return null } return v.value } } ``` ## 运维要点 - 使用受信任解析器并在应用层实施白名单 - 按TTL治理缓存并清理过期记录 - 配合DNSSEC与CAA记录提升域名安全性 通过DoH与安全解析策略，可在Web场景中实现加密、可信与可治理的DNS基线。