适用于受管理的 Chrome 浏览器和 ChromeOS 设备。
作为管理员,您可以禁止和允许访问特定网址,从而限制用户只能访问某些网站。
过滤器格式
URLBlocklist 和 URLAllowlist 政策的过滤器格式为:
[scheme://][.]host[:port][/path][@query]
| 字段 | 详细信息 |
| 协议名称(选填) |
此字段为选填字段,其后必须跟 ://。有关详情,请参阅您可以采用的协议。 不区分大小写。 |
| 主机(必填) |
一般为有效的主机名或 IP 地址,但也可以使用特殊的 * 值。星号的功能类似于通配符,代表所有的主机名和 IP 地址。 此外还可以将一个 .(英文句点)加在主机字段前面,以停用子域名匹配功能。 不区分大小写。 |
| 端口(选填) | 必须是有效端口值(1 至 65535)。 |
| 路径(选填) |
此处可使用任何字符串。 区分大小写。 |
| 查询(选填) |
键值对标记和仅包含键的标记的组合,各标记之间以 & 进行分隔。键值对标记中的键和值以 = 进行分隔。查询标记的末尾可以加上 *,用于表示前缀匹配,也可不加。标记的顺序不影响匹配结果。 区分大小写。 |
您可以采用的协议
您可以采用标准协议或自定义协议。支持的标准协议包括:
- 关于
- blob
- content
- chrome(不建议,请改用屏蔽敏感的内部 Chrome 网址)
- cid
- 数据
- 文件
- filesystem
- gopher
- http
- https
- javascript
- mailto
- ws
- wss
所有其他协议均被视为自定义协议。系统支持自定义协议,但只能识别 <协议名称>:* 及<协议名称>://* 这两种格式。通过这两种格式,均可匹配到带此协议名称的所有网址。协议名称和主机不区分大小写,但路径和查询区分大小写。
协议格式示例
- 支持的标准协议
- http://example.com 可以匹配 HTTP://Example.com、http://example.COM 及 http://example.com。
- http://example.com/path?query=1 不会匹配 http://example.com/path?Query=1 或 http://example.com/Path?query=1,但可以匹配 http://Example.com/path?query=1。
- 自定义协议
- <自定义协议名称>://* 或 <自定义协议名称>:* 为有效格式,均能匹配 <自定义协议名称>:app。
- <自定义协议名称>:app 或 <自定义协议名称>://app 则为无效格式。
网址格式的例外情况
过滤器格式与网址格式非常相似,但以下情况除外:
- 您可以添加 user:pass 字段,但此字段会被忽略。例如,请输入 http://example.com/pub/bigfile.iso,而不是 http://user:pass@example.com/pub/bigfile.iso。
- 如果您添加了页面定位用的 # 字分隔符,那么此分隔符及其后面出现的所有内容都会被忽略。
- 您可将 * 用作主机名,也可为主机名添加前缀 .(英文句点)。
- 您可以将 / 或 .(英文句点)作为主机名后缀。如果遇到这种情况,后缀会被忽略。
过滤器选择
在过滤网址时,系统会选择匹配程度最为精确的过滤器规则。
注意事项
- 通配符 (*) 是最后搜索的,会匹配所有主机名。您无法在网址末尾使用通配符,例如 https://www.example.com/* 和 https://example.com/*。
- 在下文第 4 步中,如果网址屏蔽名单过滤器和网址许可名单过滤器同时适用,且路径长度和查询标记数量相同,则网址许可名单过滤器优先。
- 如果过滤器的主机名以 .(英文句点)作为前缀,那么系统只会筛选出完全匹配的主机。举例来说:
- example.com 可以匹配 example.com www.example.com 和 sub.www.example.com 等结果,
- 而 .www.example.com 将只会匹配 www.example.com 这一网址。
过滤器选择流程
| 网址屏蔽名单条目 | 结果 |
|---|---|
| example.com | 拒绝对 example.com、www.example.com 和 sub.www.example.com 的所有请求。 |
| http://example.com | 拒绝对 example.com 及其任何子网域的所有 HTTP 请求,但允许 HTTPS 请求。 |
| https://* | 拒绝对任何网域的所有 HTTPS 请求。 |
| mail.example.com | 拒绝对 mail.example.com 的请求,但不拒绝对 www.example.com 或 example.com 的请求。 |
| .example.com | 拒绝对 example.com 的请求,但不拒绝对其子网域(如 example.com/docs)的请求。 |
| .www.example.com | 拒绝对 www.example.com 的请求,但不拒绝对其子网域的请求 |
| * | 除了对屏蔽名单例外网址的请求之外,其他请求一律拒绝。这其中包括所有网址协议,例如 http://google.com、https://gmail.com 以及 chrome://policy。 |
| *:8080 | 拒绝对端口 8080 的所有请求。 |
| example.com/stuff | 拒绝对 example.com/stuff 及其子网域的所有请求。 |
| 192.0.2.1 | 拒绝对这个 IP 地址的请求。 |
|
?v *?video=* *?video=100* |
拒绝包含 ?video=100 查询的任何请求。 |
| *?a=1&b=2 |
拒绝包含以下查询的任何请求: ?b=2&a=1 ?a=1&b=2 ?a=1&c=3&b=2 |
| youtube.com/watch?v=xyz |
禁止访问 ID 为 xyz 的 YouTube 视频。 设置禁止项时,出现键值对的任意组合都会被禁止。 设置许可项时,需要指定每个许可项对应键的匹配值。 示例 如果设置允许访问 youtube.com/watch?v=V2,则并不会允许访问 youtube.com/watch?v=V1&v=V2,但会允许访问 youtube.com/watch?v=V2&v=V2。 |
搜索 http://mail.example.com/mail/inbox 的匹配项
- 首先,找到 mail.example.com 的过滤器,然后转到第 2 步。如果找不到,请使用 example.com、com 乃至 "" 再次尝试。
- 在剩余过滤器中,移除协议名称不是“http”的过滤器。
- 在剩余过滤器中,移除具有确切端口号(非 80)的过滤器。
- 在剩余过滤器中,移除没有以 /mail/inbox 作为路径前缀的过滤器。
- 选择具有最长路径前缀的过滤器,然后应用该过滤器。如果不存在任何此类过滤器,请返回第 1 步,尝试使用下一个子域名。
只允许访问一小部分网站
- 禁止访问 *。
- 允许访问所选网站:mail.example.com、myownpersonaldomain.com、google.com.
除使用 HTTPS 对邮件服务器的访问以及对主网页的访问之外,禁止对网域的所有访问
- 禁止访问 example.com。
- 允许访问 https://mail.example.com。
- 允许访问 .example.com,也可能是 .www.example.com。
除所选视频外,禁止对 YouTube 的所有访问。
- 禁止访问 youtube.com。
- 允许访问 youtube.com/watch?v=V1。
- 允许访问 youtube.com/watch?v=V2。
如果您为组织中受支持的 ChromeOS 设备启用 Android 应用,则网址屏蔽名单和已屏蔽的网址例外将不会应用于使用 Android System WebView 的应用。要为这些应用强制应用屏蔽名单,请在文本文件中指定要屏蔽的网址(参见下文)。然后,将该屏蔽名单应用于 Android 应用。如需了解详情,请参阅将受管理的配置应用到 Android 应用。
以下示例展示了如何定义屏蔽名单网址:
{ "com.android.browser:URLBlocklist": "[\"www.solamora.com\"]" }
对于不使用 Android System WebView 的应用,请参阅应用文档,了解如何通过类似的方法限制访问权限。
“Google”以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。