踩坑实录:Cloudflare免费版Bot Fight Mode拦截Webhook——穷鬼开发者的血泪自救指南
作为一名用不起Cloudflare付费版的穷鬼独立开发者,在对接第三方Webhook(如支付、通知回调)时,我被免费版Bot Fight Mode坑到心态爆炸:WAF规则完全无法放行,只能二选一——要么关防护、要么断业务。本文把真实踩坑、官方限制、免费可用方案全扒透,帮所有免费版用户避坑。
一、致命真相:免费版WAF Skip对Bot Fight Mode完全无效
问题现象
- 开启Cloudflare免费版Bot Fight Mode
- 第三方Webhook(如Creem、Stripe、Zapier、自建回调)全部403 Forbidden
- 安全日志明确:Bot Fight Mode托管质询拦截
- 按网上教程配WAF Skip规则:完全不生效、规则从未触发、请求依旧被拦
官方铁律(文档实锤)
Cloudflare官方文档写死:
You cannot bypass or skip Bot Fight Mode using WAF custom rules or Page Rules.
Bot Fight Mode不在规则引擎内运行,Skip动作只对Super Bot Fight Mode生效。
核心区别(付费vs免费)
| 功能 | 免费版Bot Fight Mode | Pro版Super Bot Fight Mode |
|---|---|---|
| 价格 | 免费 | $20/月起 |
| WAF Skip放行 | ❌完全不支持 | ✅支持路径/IP/Host精准Skip |
| 运行位置 | 规则引擎外(全局硬拦) | 规则引擎内(可被跳过) |
| 控制粒度 | 仅全局开关 | 路径/IP/UA/Host灵活例外 |
| 免费用户现状 | 要么全开、要么全关 | 安全+业务两不误 |
一句话总结:免费版Bot Fight Mode是一刀切全局硬防护,没有任何路径例外能力——穷鬼没人权,规则写死也没用。
二、排查误区:为什么你的WAF规则永远不生效?
1. 最大误区:以为Skip能通免费版Bot Fight Mode
- 你配的规则:
Host+URI Path+POST → Skip所有安全 - 实际效果:规则触发了,但Bot Fight Mode照样拦
- 原因:两个拦截器完全独立——WAF管WAF,Bot Fight Mode在更底层硬拦
2. 免费版三大死限制
- 无路径例外:不能只放行
/api/webhook,必须全局关 - 无UA例外:第三方
axios/requestUA照样被判定恶意机器人 - IP白名单仅部分生效:IP Allow可绕,但仅对部分请求有效、不稳定
3. 为什么网上教程大多没用?
- 90%教程没区分免费版Bot Fight Mode和付费Super Bot Fight Mode
- 大量教程直接套用Pro版方案,免费版用户照做必踩坑
- Cloudflare近年架构升级:Page Rules的Skip安全检查已彻底移除
三、免费用户唯一可行方案(无付费、能上线)
方案1:全局关Bot Fight Mode(临时/兜底)
适用:必须保Webhook、暂时无攻击风险
- 进入域名 →Security(安全)→ Bots
- Bot Fight Mode → 设为Off
- 效果:Webhook立即200,但全站无机器人防护
风险:
- 暴露给恶意爬虫、扫号、CC、内容扒取
- 仅适合低流量、无敏感业务、临时调试
方案2:IP白名单(免费版最稳)
适用:第三方Webhook出口IP固定(如Creem、Stripe、支付宝)
- Cloudflare安全日志拿到真实源IP(如
3.74.66.138) - Security → WAF → Tools → IP Access Rules
- 新增:
- IP:填入对方IP/段
- Action:Allow
- 范围:当前域名
- 效果:该IP完全绕开Bot Fight Mode,100%稳定
优点:
- 免费可用、不影响全局防护、规则稳定
- 适合第三方服务商IP固定场景
缺点:
- 对方IP变更需重新配置
- 无法按路径放行(整站对该IP放行)
方案3:拆分域名(生产最优、免费可用)
适用:长期生产、既要防护、又要Webhook
- 主站域名(如
app.com):开启Bot Fight Mode保安全 - 回调专用域名(如
webhook.app.com):关闭Bot Fight Mode - 第三方Webhook指向
webhook.app.com/api/webhook - Pages/Workers:两个域名绑定同项目
完美效果:
- 主站:全量机器人防护
- 回调子域名:无拦截、稳定通行
- 零成本、免费版可实现
方案4:UA+路径+IP组合WAF拦截(替代Bot Fight Mode)
适用:不想关Bot、又要保回调
- 关闭Bot Fight Mode
- WAF自定义规则:
- 条件:
(URI Path not contains "/webhook") AND (User-Agent not contains "Mozilla") - 动作:Managed Challenge(托管质询)
- 条件:
- 效果:
- 浏览器流量正常
- 非浏览器、非Webhook路径触发人机验证
- 免费版可用、近似Bot Fight效果、支持路径例外
四、付费升级对比(要不要花钱?)
Pro版($20/月)价值
- Super Bot Fight Mode:支持WAF Skip路径/IP/Host例外
- 可精准:
仅放行/api/webhook,其余路径强防护 - 规则100%生效、不用拆分域名、不用关全局
穷鬼判断
- 个人/小项目:免费方案足够、拆分域名最稳
- 商业/支付/高敏感:直接Pro、安全+业务两不误
五、Cloudflare Pages只保留一个生产版本(免费版必做)
1. 禁用预览部署(根源清理)
- Pages项目 →设置 → 构建与部署 → 分支部署控制
- 自动预览部署 → None
- 仅保留
main/production自动部署
2. 手动清理旧版本
- 部署列表 → 对非生产版本 →… → Delete deployment
- 只保留最新一个生产版本
六、血泪总结+避坑清单(免费版必看)
核心结论
- 免费版Bot Fight Mode:WAF Skip绝对无效——官方硬限制、改不了
- 免费用户没有路径例外:只能全局关、IP白、拆分域名
- 网上教程90%不区分免费/付费——照搬必踩坑
- 穷鬼最优解:拆分域名+IP白名单
免费版避坑清单
- ❌别信免费版能用Skip过Bot Fight——文档写死不行
- ❌别只配路径规则不配Host——子域名场景必不触发
- ❌别长期全局关Bot——安全风险极高
- ✅优先IP白名单:免费、稳定、不影响全局
- ✅生产用拆分域名:安全+业务双保、零成本
- ✅实在不行关Bot:仅临时调试、绝不长期用
写在最后
Cloudflare免费版足够强大,但机器人防护就是付费分水岭。作为穷鬼开发者,不要硬刚官方限制——认清规则、用拆分域名+IP白名单,照样能稳定上线。
记住:免费版Bot Fight Mode是全局一刀切,WAF规则再怎么配都没用——穷鬼没人权,但有办法绕!