适用于受管理的 Chrome 浏览器和 ChromeOS 设备。
作为管理员,您可以禁止和允许访问特定网址,让用户只能访问特定网站。
过滤器格式
URLBlocklist 和 URLAllowlist 政策的过滤器格式为:
[协议名称://][.]主机[:端口][/路径][@查询]
字段 | 详细信息 |
协议名称(选填) |
此字段为选填字段,其后必须跟 ://。有关详情,请参阅您可以采用的协议。 不区分大小写。 |
主机(必填) |
一般为有效的主机名或 IP 地址,但也可以使用特殊的 * 值。此外还可以将一个 .(英文句点)加在主机字段前面,以停用子域名匹配功能。 不区分大小写。 |
端口(选填) | 必须是有效端口值(1 至 65535)。 |
路径(选填) |
此处可使用任何字符串。 区分大小写。 |
查询(选填) |
键值对标记和仅包含键的标记的组合,各标记之间以 & 进行分隔。键值对标记中的键和值以 = 进行分隔。查询标记的末尾可以加上 *,用于表示前缀匹配,也可不加。标记的顺序不影响匹配结果。 区分大小写。 |
您可以采用的协议
您可以采用标准协议或自定义协议。支持的标准协议包括:
- about
- blob
- content
- chrome
- cid
- data
- file
- filesystem
- gopher
- http
- https
- javascript
- mailto
- ws
- wss
所有其他协议均被视为自定义协议。系统支持自定义协议,但只能识别 <协议名称>:* 及<协议名称>://* 这两种格式。通过这两种格式,均可匹配到带此协议名称的所有网址。协议名称和主机不区分大小写,但路径和查询区分大小写。
协议格式示例
- 支持的标准协议
- http://example.com 可以匹配 HTTP://Example.com、http://example.COM 及 http://example.com。
- http://example.com/path?query=1 不会匹配 http://example.com/path?Query=1 或 http://example.com/Path?query=1,但可以匹配 http://Example.com/path?query=1。
- 自定义协议
- <自定义协议名称>://* 或 <自定义协议名称>:* 为有效格式,均能匹配 <自定义协议名称>:app。
- <自定义协议名称>:app 或 <自定义协议名称>://app 则为无效格式。
网址格式的例外情况
过滤器格式与网址格式非常相似,但以下情况除外:
- 您可以添加 user:pass 字段,但此字段会被忽略。例如 http://user:pass@example.com/pub/bigfile.iso。
- 如果您添加了页面定位用的 # 字分隔符,那么此分隔符及其后面出现的所有内容都会被忽略。
- 您可将 * 用作主机名,并可为主机名添加前缀 .(英文句点)。
- 您可以将 / 或 .(英文句点)作为主机名后缀。如果遇到这种情况,后缀会被忽略。
过滤器选择
在过滤网址时,系统会选择匹配程度最为精确的过滤器规则。
注意事项
- 通配符 (*) 是最后搜索的,会匹配所有主机名。
- 在下文第 4 步中,如果网址屏蔽名单过滤器和网址许可名单过滤器的路径长度及查询标记的数量均相同,那么网址许可名单过滤器优先于网址屏蔽名单过滤器。
- 如果过滤器的主机名以 .(英文句点)作为前缀,那么系统只会筛选出完全匹配的主机。例如:
- example.com 可以匹配 example.com www.example.com 和 sub.www.example.com 等结果,
- 而 .www.example.com 将只会匹配 www.example.com 这一网址。
过滤器选择流程
- 系统会首先选择具有最长主机匹配项的过滤器,并舍弃所有包含不匹配协议或端口的过滤器。
- 系统会从其余的过滤器中,选择具有最长匹配路径的过滤器。
- 再从剩余的过滤器中,选择具有最长查询标记集的过滤器。
- 如果此流程过后,未留下任何有效的过滤器,那么系统会移除主机名中最左侧的子域名,然后从第 1 步开始重新执行选择流程。
- 如果存在匹配的过滤器,则系统会强制执行过滤器的结果(拒绝或批准请求)。如果没有匹配的过滤器,则系统会默认批准请求。
网址屏蔽名单示例
网址屏蔽名单条目 | 结果 |
---|---|
example.com | 拒绝对 example.com、www.example.com 和 sub.www.example.com 的所有请求。 |
http://example.com | 拒绝对 example.com 及其任何子网域的所有 HTTP 请求,但允许 HTTPS 请求。 |
https://* | 拒绝对任何网域的所有 HTTPS 请求。 |
mail.example.com | 拒绝对 mail.example.com 的请求,但不拒绝对 www.example.com 或 example.com 的请求。 |
.example.com | 拒绝对 example.com 的请求,但不拒绝对其子网域(如 example.com/docs)的请求。 |
.www.example.com | 拒绝对 www.example.com 的请求,但不拒绝对其子网域的请求 |
* | 除了对屏蔽名单例外网址的请求之外,其他请求一律拒绝。这其中包括所有网址协议,例如 http://google.com、https://gmail.com 以及 chrome://policy。 |
*:8080 | 拒绝对端口 8080 的所有请求。 |
example.com/stuff | 拒绝对 example.com/stuff 及其子网域的所有请求。 |
192.0.2.1 | 拒绝对这个 IP 地址的请求。 |
?v *?video=* *?video=100* |
拒绝包含 ?video=100 查询的任何请求。 |
*?a=1&b=2 |
拒绝包含以下查询的任何请求: ?b=2&a=1 ?a=1&b=2 ?a=1&c=3&b=2 |
youtube.com/watch?v=xyz |
禁止访问 ID 为 xyz 的 YouTube 视频。 设置禁止项时,出现键值对的任意组合都会被禁止。 设置许可项时,需要指定每个许可项对应键的匹配值。 示例 如果设置允许访问 youtube.com/watch?v=V2,则并不会允许访问 youtube.com/watch?v=V1&v=V2,但会允许访问 youtube.com/watch?v=V2&v=V2。 |
搜索 http://mail.example.com/mail/inbox 的匹配项
- 首先,找到 mail.example.com 的过滤器,然后转到第 2 步。如果找不到,请使用 example.com、com 乃至 "" 再次尝试。
- 在剩余过滤器中,移除协议名称不是“http”的过滤器。
- 在剩余过滤器中,移除具有确切端口号(非 80)的过滤器。
- 在剩余过滤器中,移除没有以 /mail/inbox 作为路径前缀的过滤器。
- 选择具有最长路径前缀的过滤器,然后应用该过滤器。如果未剩余任何过滤器,请返回第 1 步,尝试使用下一个子域名。
只允许访问一小部分网站
- 禁止访问 *。
- 允许访问所选网站:mail.example.com、myownpersonaldomain.com、google.com.
除使用 HTTPS 对邮件服务器的访问以及对主网页的访问之外,禁止对网域的所有访问
- 禁止访问 example.com。
- 允许访问 https://mail.example.com。
- 允许访问 .example.com,也可能是 .www.example.com。
除所选视频外,禁止对 YouTube 的所有访问。
- 禁止访问 youtube.com。
- 允许访问 youtube.com/watch?v=V1。
- 允许访问 youtube.com/watch?v=V2。