托管转换

功能介绍

开启托管转换后，ESA将在边缘节点处添加一部分常用的回源请求标头和安全响应标头，其工作流程如下：

• HTTP请求头（客户端 → ESA → 源站）：当边缘节点收到客户端请求后，可根据您的配置，在将请求转发到源站服务器之前，添加特定的HTTP请求头，包括：

  类型	包含的Header	说明
  添加真实客户端IP标头	ali-real-client-ip	记录建立TCP连接的客户端真实IP地址，此标头由ESA在边缘节点添加，比客户端可能伪造的X-Forwarded-For标头更可信。
  添加访问者位置标头	ali-ip-country ali-ip-city	基于客户端真实IP，查询IP地理位置数据库，并添加对应的国家/地区、城市代码作为标头值。标头取值为 ISO 3166-1定义的 Alpha2 格式的国家/地区2位字母码，例如：ali-ip-country=cn代表客户端 IP 地理位置位于中国内地。
  添加安全请求头	Tls-Hash Tls-Ja3 Tls-Ja4	分析客户端TLS握手信息，生成JA3和JA4指纹，用于识别客户端类型或检测机器人，包括Tls-Hash、Tls-Ja3、Tls-Ja4。 TLS指纹标头仅在企业版套餐中会有对应值。

• HTTP响应头（ESA → 客户端）：当ESA收到源站的响应后，在将其返回给客户端之前，会根据您的配置添加一组标准的安全响应头。

  说明

  如果源站响应已包含同名安全头，ESA默认会覆盖源站的标头值，以确保策略的一致性。

  类型	包含的Header	说明
  添加安全响应头	x-content-type-options: nosniff	用于防护MIME类型混淆攻击，要求浏览器必须遵守响应头中的Content-Type声明的类型；nosniff表示激活严格模式。
  	x-xss-protection: 1; mode=block	用于防护反射型XSS攻击（恶意脚本通过URL参数注入）。1表示启用XSS过滤；mode=block表示触发过滤时直接阻止页面渲染
  	x-frame-options: SAMEORIGIN	限制页面嵌入权限，用于防护点击劫持攻击。SAMEORIGIN表示仅允许同源域名嵌入（如example.com的页面只能被example.com的其他页面嵌套）。
  	referrer-policy: same-origin	用于控制Referer头信息泄露，避免跨域请求时泄露用户行为路径。same-origin表示仅在同源请求中发送完整Referer，跨域请求不发送Referer。
  	expect-ct: max-age=86400, enforce	用于异常证书的检测。max-age=86400表示策略有效期为24小时；enforce表示强制浏览器拒绝未符合证书透明要求的连接。

配置客户端信息以提供请求分析参考

在回源请求中自动添加包含客户端真实IP、地理位置和TLS指纹的HTTP标头，便于源站应用获取更多客户端上下文信息。

配置安全响应头以加固客户端安全

在客户端响应中自动添加一组标准的安全标头，防御XSS、点击劫持等攻击，以增强Web应用的安全性。