背景与价值 部分追踪域使用CNAME伪装为一方子域。解析并识别CNAME链可阻断伪装外联并提升隐私保护。 统一规范 - 白名单:仅允许受控终端域; - 规则集:维护已知追踪终端列表; - 审计:记录命中规则的解析结果与来源。 核心实现 规则与解析占位 ```ts type CnameChain = string[] // e.g., ['track.example.com','tracker.vendor.com'] const denyEnds = new Set(['tracker.vendor.com','analytics.bad.example']) const allowEnds = new Set(['assets.example.com','cdn.example.com']) function blocked(chain: CnameChain): boolean { const end = chain[chain.length - 1]?.toLowerCase() || '' if (denyEnds.has(end)) return true if (!allowEnds.has(end)) return true return false } function audit(domain: string, chain: CnameChain, blockedFlag: boolean): void { void domain; void chain; void blockedFlag } ``` 落地建议 - 对外联域进行解析并获取CNAME链,终端域命中追踪列表或非白名单一律阻断。 - 维护规则集与审计,持续收敛风险来源并更新白名单。 验证清单 - 终端域是否在白名单内;是否命中追踪规则并被阻断;审计是否记录。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复