通过规则配置源站回源HTTP响应头_边缘安全加速(ESA)-阿里云帮助中心

边缘安全加速 ESA节点的HTTP响应头是HTTP响应消息头的组成部分，用于携带并传递特定的响应参数给客户端。通过配置ESA节点的HTTP响应头，可实现资源返回时的响应头控制。ESA支持对HTTP响应头规则进行新增、修改和删除，以满足更多实际业务需求。

功能介绍

当客户端请求访问资源时，请求首先到达ESA。如果未命中ESA节点的缓存，将向源站发起回源请求以获取数据。在源站返回数据后，ESA节点将根据您配置的响应头规则对原始响应进行修改（例如：添加、替换或删除特定字段），最终将包含响应头的完整资源返回给客户端，以实现跨域访问控制、缓存策略优化等业务需求。

应用场景

告知客户端ESA响应文件的资源类型：如添加响应头Content-Type: text/html，以明确告知客户端ESA响应文件的格式为HTML，并进行相应渲染处理。
实现跨域资源访问：当用户请求ESA上某个域名的资源时，可以在ESA返回的响应消息中配置响应头Access-Control-Allow-Origin，以实现跨域访问，请参考配置跨域资源共享。
自定义响应行为：通过添加或修改自定义头部信息，可以根据业务需求调整客户端接收到的响应内容和格式，以实现特定功能或跟踪目的。

注意事项

在添加了多条配置的情况下，配置的执行顺序是按配置列表从上到下的顺序逐条执行，响应头名称相同的配置将被后续配置覆盖，因此最终结果可能与预期不符。例如：

配置1为增加HTTP响应头：cache-control: max-age=3600
配置2为增加HTTP响应头：cache-control: no-cache

以上两个配置叠加的结果是配置2最终生效，即cache-control: no-cache。

操作步骤

新增规则后，当用户发起资源访问请求时，ESA将根据规则的生效优先级依次进行匹配与执行。

在ESA控制台，选择站点管理，在站点列单击目标站点。
在左侧导航栏，选择规则 > 转换规则。
单击修改响应头页签，单击新增规则，填写规则名称。
在如果请求匹配以下规则...区域设置要匹配的用户请求特征，具体配置规则请参见规则表达式的组成。

在修改出站响应头区域，选择操作方式，填写响应头名称和响应头值。

操作方式	类型	说明	示例
添加	静态	在返回客户端的响应中添加指定响应头。如果客户端中的响应头已包含同名响应头，则新添加的响应头将覆盖该同名响应头。	增加名称为`x-code`，值为`key1`的响应头，请填写：响应头名称：`x-code` 响应头值：`key1`
添加	动态	响应头值支持设置为一个表达式。	增加名称为`Client-Ip-Geo-Location`，值为`ip.geoip.country`的响应头，用于记录客户端IP归属的地理位置对应的国家或地区，请填写：响应头名称：`Client-Ip-Geo-Location` 响应头值：`ip.geoip.country`
变更	静态	在返回客户端的响应中变更指定响应头的值。	修改名称为`x-code`的响应头，值为`key2`，请填写：响应头名称：`x-code` 响应头值：`key2`
变更	动态	响应头值支持设置为一个表达式。	修改名称为`Client-Ip-Geo-Location`的响应头，值为`ip.geoip.country`，将响应头值变更为客户端IP归属的地理位置对应的国家或地区，请填写：响应头名称：`Client-Ip-Geo-Location` 响应头值：`ip.geoip.country`
删除		在返回客户端的响应中删除所有与响应头名称匹配的参数值，无论是否有重复的响应头参数。	删除名称为`x-code`的响应头，请填写响应头名称：`x-code`。

说明

禁止配置以ali-或者Ali-开头的响应头名称。
响应头值中可以配置多个值，用英文逗号,分隔。
删除操作不区分静态模式和动态模式，效果一致。
变更是对已存在的响应头做修改，仅在原始响应头中存在对应名称的响应头时，变更操作才会生效。

单击确定。

响应头参数说明

响应头参数	说明	示例
自定义	支持添加自定义响应头。自定义响应头名称要求如下：由大小写字母、中划线`-`和数字组成。长度为1~100个字符。	Test-Header
Cache-Control	指定客户端程序请求和响应遵循的缓存机制。	no-cache
Content-Disposition	指定客户端程序将请求所得的内容存为一个文件时提供的默认文件名。	examplefile.txt
Content-Type	指定客户端程序响应对象的内容类型。	text/plain
Pragma	Pragma 是一个在 HTTP/1.0 中规定的通用首部，这个首部通常用于在服务器的响应中定义客户端对文件的缓存行为。	no-cache
Access-Control-Allow-Origin	指定哪些源可以访问资源。它是跨域资源共享（`CORS`,`Cross-Origin Resource Sharing`）机制的一部分，该机制允许服务器声明其资源是否可以被某个指定的源域名访问。该响应头的值支持以下类型：通配符 ``：使用通配符表示允许任何源访问资源。这种方式非常宽松，适用于那些公开无需认证或授权即可访问的资源。不过，在生产环境中使用通配符时需要谨慎，因为它可能带来安全风险，比如跨站请求伪造攻击。单个指定源*：你可以指定一个具体的源域名，表示仅允许该特定源访问资源。例如`http://example.com` 或 `https://api.example.com`，这要求请求必须来自指定的源，否则将被拒绝。	* http://www.aliyun.com
Access-Control-Allow-Methods	指定允许的跨域请求方法。多个方法用英文逗号`,`分隔。	POST,GET
Access-Control-Allow-Headers	指定允许的跨域请求字段。	X-Custom-Header
Access-Control-Expose-Headers	指定允许访问的自定义头信息。	Content-Length
Access-Control-Allow-Credentials	该响应头指示是否允许将请求的响应暴露给页面。 true：表示可以暴露。其他值：表示不可以暴露。	true
Access-Control-Max-Age	指定客户端程序对特定资源的预请求返回结果的缓存时间，单位为秒。	600

说明

响应头值支持配置为*，表示任意来源。
响应头值非*的情况下，支持配置单个或者多个IP、域名、或者IP和域名混合，相互间用英文,分隔。
响应头值非*的情况下，必须包含协议头http:// 或者https://。
响应头值支持携带端口。
响应头值支持泛域名。

功能介绍

应用场景

注意事项

操作步骤

响应头参数说明

相关文档