接入百度智能云 Web 应用防火墙（Web Application Firewall，简称 WAF）后，您可以配置信息泄露防护规则，对服务器返回内容中的敏感信息（包含身份证号、电话号码、银行卡号、敏感词汇）进行检测，支持脱敏展示敏感信息或返回默认异常响应页面，有效防止敏感数据泄露。本文将指导您完成信息泄露防护规则的创建与配置流程。

信息泄露防护功能仅 SaaS WAF支持，负载均衡型 WAF 暂不支持。

1. 登录 百度云 Web 应用防火墙控制台，在顶部菜单栏选择资源对应的地域。
2. 在左侧导航栏，选择 防护配置 -> Web 防护，点击 信息泄露防护 标签页。
3. 在 信息泄露防护 页面，单击 添加规则。

• 策略名称：为该规则设置一个名称。
• 匹配条件：定义规则需要匹配的请求特征。
  如需了解匹配字段和逻辑符的详细说明，请参阅匹配条件说明。

• 匹配内容：定义要在请求响应中检测的敏感信息类型，支持以下分类：
  • 响应码：检测指定的 HTTP 响应状态码（支持 400、401、402、403、404、500、501、502、503、504、405~499、505~599），避免异常响应页面暴露敏感数据。
  • 敏感信息：检测响应内容中的身份证号、银行卡号、电话号码、自定义敏感关键字。
  敏感信息防泄露功能目前仅支持处理中华人民共和国境内使用的数据格式（例如身份证号、电话号码、银行卡号），暂不支持处理中国境外的数据格式。

• 处置动作：定义在请求响应中检测到敏感信息后执行的操作。不同匹配内容支持的处置动作不同：
  • 匹配内容为响应码时，支持以下处置动作：
    • 观察：不拦截命中规则的请求，仅在日志中记录该请求信息。
    • 拦截：拦截命中规则的请求，并向客户端返回拦截响应页面。
  • 匹配内容为敏感信息时，支持以下处置动作：
    • 观察：不拦截命中规则的请求，仅在日志中记录该请求信息。
    • 打码：不拦截命中规则的请求，将响应内容中的敏感信息部分替换为星号（*）脱敏展示。
  如需了解各处置动作的详细说明，请参阅处置动作说明。

• 自定义响应页面：匹配条件为响应码且选择拦截处置动作时，可在处置动作下方的「自定义响应页面」下拉框中选择绑定对应类型的自定义响应页面。
  自定义响应页面具体配置操作，请参阅自定义响应页面。

在防护站点配置项中，选择需要应用此规则的域名或实例（支持多选）。规则创建完成后，您也可以通过编辑规则来调整或移除已关联的防护站点。