適用於受管理的 Chrome 瀏覽器和 ChromeOS 裝置。
篩選器格式
URLBlocklist 和 URLAllowlist 政策的篩選器格式如下:
[配置://][.]主機[:通訊埠][/路徑][@查詢]
| 欄位 | 詳細資料 |
| 配置 (選填) |
這是選填欄位,後面必須加上「://」。詳情請參閱您可以使用的配置。 不區分大小寫。 |
| 主機 (必填) |
有效的主機名稱或 IP 位址,也可以使用特殊的 * 值。您可以選擇性地在主機欄位前面加上 .(點號),以停用子網域比對功能。 不區分大小寫。 |
| 通訊埠 (選填) | 必須是介於 1 至 65535 之間的有效通訊埠值。 |
| 路徑 (選填) |
您可以在這裡使用任何字串。 區分大小寫。 |
| 查詢 (選填) |
一組鍵/值和僅有鍵的標記,各個標記之間以 & 來分隔。鍵/值標記以 = 來分隔鍵與值。您可以選擇性地在查詢標記結尾加上 *,表示前置字元必須相符。標記順序不會影響比對。 區分大小寫。 |
您可以使用的配置
您可以使用標準配置或自訂配置。支援的標準配置如下:
- about
- blob
- content
- chrome
- cid
- data
- file
- filesystem
- gopher
- http
- https
- javascript
- mailto
- ws
- wss
所有其他配置都算自訂配置。系統支援自訂配置,但只允許使用 scheme:* 和 scheme://* 模式。這類配置與所有具有該配置的網址相符。配置和主機欄位不區分大小寫,但路徑和查詢欄位區分大小寫。
配置格式範例
- 支援的標準配置
- http://example.com 與 HTTP://Example.com、http://example.COM 及 http://example.com 皆相符。
- http://example.com/path?query=1 與 http://example.com/path?Query=1 或 http://example.com/Path?query=1 不相符,但與 http://Example.com/path?query=1 相符。
- 自訂配置
- custom://* 或 custom:* 皆為有效模式,而且與 custom:app 相符。
- custom:app 或 custom://app 則為無效模式。
網址格式的例外情況
篩選器格式與網址格式非常類似,都有下列例外情況:
- 您可以加入 user:pass 欄位,但系統會予以忽略。例如 http://user:pass@example.com/pub/bigfile.iso。
- 如果您加入參考分隔符號 #,系統會忽略該分隔符號及接續在該符號後面的所有內容。
- 主機欄位可以使用 *。您也可以在該欄位前面加上 . (點號)。
- 主機欄位後面可以使用 / 或 . (點號),但在這種情況下,系統會忽略該後置字元。
篩選器選取方式
為網址選取的篩選器即為最明確的相符項目。
注意事項
- 系統最後才會搜尋萬用字元 (*),而且該字元與所有主機皆相符。
- 如果您在下列步驟 4 中同時套用封鎖和允許篩選器,且路徑長度和查詢符記數量相同,則系統會優先採用允許篩選器。
- 如果篩選器的主機欄位前面有 . (點號),則系統只會篩選出完全相符的主機。例如:
- example.com 與 example.com、www.example.com 及 sub.www.example.com 皆相符。
- .www.example.com 只與 www.example.com 完全相符。
篩選器選取程序
- 系統會選取主機相符項目最長的篩選器。系統會捨棄配置或通訊埠不相符的篩選器。
- 系統會從這些篩選器中選取相符路徑最長的篩選器。
- 系統會從這些篩選器中選取查詢符記最長的篩選器。
- 如果這個階段沒有剩下任何有效的篩選器,系統會移除最左側的子網域以縮減主機欄位,然後從步驟 1 重新開始。
- 如果仍有可用的篩選器,系統會強制執行篩選器決定結果,即封鎖或允許。如果沒有任何相符的篩選器,則預設為允許要求。
網址封鎖清單範例
| 網址封鎖清單項目 | 結果 |
|---|---|
| example.com | 拒絕所有傳送至 example.com、www.example.com 和 sub.www.example.com 的要求。 |
| http://example.com | 拒絕所有傳送至 example.com 及其子網域的 HTTP 要求,但允許 HTTPS 要求。 |
| https://* | 拒絕傳送至所有網域的所有 HTTPS 要求。 |
| mail.example.com | 拒絕傳送至 mail.example.com 的要求,但允許傳送至 www.example.com 或 example.com 的要求。 |
| .example.com | 拒絕傳送至 example.com 的要求,但允許傳送至其子網域 (例如 example.com/docs) 的要求。 |
| .www.example.com | 拒絕傳送至 www.example.com 的要求,但允許傳送至其子網域的要求 |
| * | 拒絕所有要求,只允許傳送至封鎖清單例外網址的要求,包括任何網址配置,例如 http://google.com、https://gmail.com 和 chrome://policy。 |
| *:8080 | 拒絕所有傳送至通訊埠 8080 的要求。 |
| example.com/stuff | 拒絕所有傳送至 example.com/stuff 及其子網域的要求。 |
| 192.0.2.1 | 拒絕明確傳送至這個 IP 位址的要求。 |
|
?v *?video=* *?video=100* |
拒絕所有包含 ?video=100 查詢的要求。 |
| *?a=1&b=2 |
拒絕所有包含下列查詢的要求: ?b=2&a=1 ?a=1&b=2 ?a=1&c=3&b=2 |
| youtube.com/watch?v=xyz |
拒絕 ID 為 xyz 的 YouTube 影片。 當您封鎖時,只要出現該鍵/值組合都有效。 當您允許時,每個出現的鍵都應該有相符的值。 範例 允許 youtube.com/watch?v=V2 時,並不允許 youtube.com/watch?v=V1&v=V2,但允許 youtube.com/watch?v=V2&v=V2。 |
搜尋與 http://mail.example.com/mail/inbox 相符的項目
- 首先,找到 mail.example.com 的篩選器,然後前往步驟 2。如果失敗,請使用 example.com、com 和 "" 再試一次。
- 在目前的篩選器中,將非 http 配置的篩選器移除。
- 在目前的篩選器中,將確切通訊埠號碼不是 80 的篩選器移除。
- 在目前的篩選器中,將不含 /mail/inbox 路徑前置字元的篩選器移除。
- 挑選並套用路徑前置字元最長的篩選器。如果沒有這類篩選器,請返回步驟 1,並嘗試下一個子網域。
只允許少量網站
- 封鎖 *。
- 允許選取的網站:mail.example.com、myownpersonaldomain.com、google.com。
一律封鎖網域存取,只允許存取主要頁面及使用 HTTPS 存取郵件伺服器
- 封鎖 example.com。
- 允許 https://mail.example.com。
- 允許 .example.com 或 .www.example.com。
封鎖所有 YouTube 的存取權,但選取的影片除外。
- 封鎖 youtube.com。
- 允許 youtube.com/watch?v=V1。
- 允許 youtube.com/watch?v=V2。