適用於受管理的 Chrome 瀏覽器和 ChromeOS 裝置。
篩選器格式
URLBlocklist 和 URLAllowlist 政策的篩選器格式如下:
[scheme://][.]host[:port][/path][@query]
| 欄位 | 詳細資料 |
| 配置 (選填) |
這是選填欄位,後面必須加上「://」。詳情請參閱您可以使用的配置。 不區分大小寫。 |
| 主機 (必填) |
有效的主機名稱或 IP 位址,也可以使用特殊的 * 值。星號的用法類似萬用字元,可代表所有主機名稱和 IP 位址。 您可以選擇性地在主機欄位前面加上 .(點號),以停用子網域比對功能。 不區分大小寫。 |
| 通訊埠 (選填) | 必須是介於 1 至 65535 之間的有效通訊埠值。 |
| 路徑 (選填) |
您可以在這裡使用任何字串。 區分大小寫。 |
| 查詢 (選填) |
一組鍵/值和僅有鍵的符記,各符記之間以 & 分隔。鍵/值符記以 = 來分隔鍵與值。您可以選擇是否在查詢符記結尾加上 *,表示前置字元必須相符。標記順序不會影響比對。 區分大小寫。 |
您可以使用的配置
您可以使用標準配置或自訂配置。支援的標準配置如下:
- 關於
- blob
- content
- chrome (不建議使用,請改用「禁止存取敏感的內部 Chrome 網址」)
- cid
- 資料
- 檔案
- filesystem
- gopher
- http
- https
- JavaScript
- mailto
- ws
- wss
所有其他配置都算自訂配置。系統支援自訂配置,但只允許使用 scheme:* 和 scheme://* 模式。這類配置與所有具有該配置的網址相符。配置和主機欄位不區分大小寫,但路徑和查詢欄位區分大小寫。
配置格式範例
- 支援的標準配置
- http://example.com 與 HTTP://Example.com、http://example.COM 及 http://example.com 皆相符。
- http://example.com/path?query=1 與 http://example.com/path?Query=1 或 http://example.com/Path?query=1 不相符,但與 http://Example.com/path?query=1 相符。
- 自訂配置
- custom://* 或 custom:* 皆為有效模式,而且與 custom:app 相符。
- custom:app 或 custom://app 則為無效模式。
網址格式的例外情況
篩選器格式與網址格式非常類似,都有下列例外情況:
- 您可以加入 user:pass 欄位,但系統會予以忽略。舉例來說,請輸入 http://user:pass@example.com/pub/bigfile.iso,而非 http://example.com/pub/bigfile.iso。
- 如果您加入參考分隔符號 #,系統會忽略該分隔符號及接續在該符號後面的所有內容。
- 主機欄位可以使用 *。您也可以在該欄位前面加上 . (點號)。
- 主機欄位後面可以使用 / 或 . (點號),但在這種情況下,系統會忽略該後置字元。
篩選器選取方式
為網址選取的篩選器即為最明確的相符項目。
注意事項
- 系統最後才會搜尋萬用字元 (*),而且該字元與所有主機皆相符。您無法在網址結尾使用萬用字元,例如 https://www.example.com/* 和 https://example.com/*。
- 如果您在下文的步驟 4 中同時套用封鎖和允許篩選器,且路徑長度和查詢符記數量相同,則系統會優先採用允許篩選器。
- 如果篩選器的主機欄位前面有 . (點號),則系統只會篩選出完全相符的主機。舉例來說:
- example.com 與 example.com、www.example.com 及 sub.www.example.com 皆相符。
- .www.example.com 只與 www.example.com 完全相符。
篩選器選取程序
| 網址封鎖清單項目 | 結果 |
|---|---|
| example.com | 拒絕所有傳送至 example.com、www.example.com 和 sub.www.example.com 的要求。 |
| http://example.com | 拒絕所有傳送至 example.com 及其子網域的 HTTP 要求,但允許 HTTPS 要求。 |
| https://* | 拒絕傳送至所有網域的所有 HTTPS 要求。 |
| mail.example.com | 拒絕傳送至 mail.example.com 的要求,但允許傳送至 www.example.com 或 example.com 的要求。 |
| .example.com | 拒絕傳送至 example.com 的要求,但允許傳送至其子網域 (例如 example.com/docs) 的要求。 |
| .www.example.com | 拒絕傳送至 www.example.com 的要求,但允許傳送至其子網域的要求 |
| * | 拒絕所有要求,只允許傳送至封鎖清單例外網址的要求,包括任何網址配置,例如 http://google.com、https://gmail.com 和 chrome://policy。 |
| *:8080 | 拒絕所有傳送至通訊埠 8080 的要求。 |
| example.com/stuff | 拒絕所有傳送至 example.com/stuff 及其子網域的要求。 |
| 192.0.2.1 | 拒絕明確傳送至這個 IP 位址的要求。 |
|
?v *?video=* *?video=100* |
拒絕所有包含 ?video=100 查詢的要求。 |
| *?a=1&b=2 |
拒絕所有包含下列查詢的要求: ?b=2&a=1 ?a=1&b=2 ?a=1&c=3&b=2 |
| youtube.com/watch?v=xyz |
拒絕 ID 為 xyz 的 YouTube 影片。 當您封鎖時,只要出現該鍵/值組合都有效。 當您允許時,每個出現的鍵都應該有相符的值。 示例 允許 youtube.com/watch?v=V2 時,並不允許 youtube.com/watch?v=V1&v=V2,但允許 youtube.com/watch?v=V2&v=V2。 |
搜尋與 http://mail.example.com/mail/inbox 相符的項目
- 首先,找到 mail.example.com 的篩選器,然後前往步驟 2。如果失敗,請使用 example.com、com 和 "" 再試一次。
- 在目前的篩選器中,將非 http 配置的篩選器移除。
- 在目前的篩選器中,將確切通訊埠號碼不是 80 的篩選器移除。
- 在目前的篩選器中,將不含 /mail/inbox 路徑前置字元的篩選器移除。
- 挑選並套用路徑前置字元最長的篩選器。如果沒有這類篩選器,請返回步驟 1,並嘗試下一個子網域。
只允許少量網站
- 封鎖 *。
- 允許選取的網站:mail.example.com、myownpersonaldomain.com、google.com。
一律封鎖網域存取,只允許存取主要頁面及使用 HTTPS 存取郵件伺服器
- 封鎖 example.com。
- 允許 https://mail.example.com。
- 允許 .example.com 或 .www.example.com。
封鎖所有 YouTube 的存取權,但選取的影片除外。
- 封鎖 youtube.com。
- 允許 youtube.com/watch?v=V1。
- 允許 youtube.com/watch?v=V2。
如果您已為貴機構中支援的 ChromeOS 裝置啟用 Android 應用程式,採用 Android System WebView 的應用程式就不會遵循網址封鎖清單和網址封鎖清單例外狀況規定。如要針對這類應用程式強制執行封鎖清單,請以文字檔案列出要加入封鎖清單的網址 (詳情請見下文),然後將封鎖清單套用至 Android 應用程式。詳情請參閱將受管理的設定套用於 Android 應用程式。
以下範例說明如何定義要加入封鎖清單的網址:
{ "com.android.browser:URLBlocklist": "[\"www.solamora.com\"]" }
如果您的應用程式使用的不是 Android System WebView,請參閱應用程式說明文件,瞭解如何使用類似的方式限制存取權。
Google 與相關符號和標誌均為 Google LLC 的商標。所有其他公司名稱和產品名稱則為相關公司的商標。