匹配字段

ESA的匹配字段支持 3 种类型：

• 标准字段：用于表示客户端请求或者响应中携带的标准协议（如： HTTP 、 IP 、 TLS 等）相关信息，例如：主机名、请求标头、响应标头等。

• 扩展字段：用于表示ESA对客户端请求或者响应进行特定运算后获得的计算值，通常与 HTTP 请求的威胁情报有关。

• 原始字段：用于表示ESA保留客户端请求的原始属性值，通常用于在客户端请求穿过多个 ESA 功能模块的过程中依然保持原始属性值。

单条表达式 = （<匹配字段> <匹配运算符> <匹配值>），如（http.host eq "example-1.com"）

http.cookie

HTTP 请求中携带的Cookie标头。

• 字段名：Cookie

• 类型：String

• 是否支持区分大小写：是

• 匹配值是否允许配置空字符串：是

• 示例值："sessionid=330688;userid=abc123"

• 使用限制：查看该字段在不同功能中的支持情况

http.host

HTTP 请求中使用的主机名。

• 字段名：主机名

• 类型：String

• 是否支持区分大小写：否

• 匹配值是否允许配置空字符串：否

• 示例值："www.example.com"

• 使用限制：查看该字段在不同功能中的支持情况

http.referer

HTTP 请求中携带的Referer标头。

• 字段名：Referer

• 类型：String

• 是否支持区分大小写：否

• 匹配值是否允许配置空字符串：是

• 示例值："http://www.example.com/index"

• 使用限制：查看该字段在不同功能中的支持情况

http.request.body.form

HTTP 请求中携带的表单形式的请求正文（当Content-Type标头值为application/x-www-form-urlencoded时使用的请求正文格式），以 Map（关联数组）形式表示。

• 字段名：Body查询字符串

• 类型：Map<Array<String>>

• 示例值：{"username":["admin"]}

• 使用限制：查看该字段在不同功能中的支持情况

http.request.body.mime

从 HTTP 请求正文中检测到的 MIME 类型。支持常规资源类别video, audio, image, application, text的最常见 MIME 类型。

• 字段名： MIME 类型

• 类型：String

• 示例："application/json"

• 使用限制：查看该字段在不同功能中的支持情况

http.request.cookies

HTTP 请求中携带的Cookie标头，以 Map （关联数组）的形式表示。

• 字段名： Cookie 值

• 类型：String

• 是否支持区分大小写：是

• 匹配值是否允许配置空字符串：是

• 示例值：{"sessionid":["330668"]}

• 使用限制：查看该字段在不同功能中的支持情况

http.request.full_uri

HTTP 请求的完整 URI ，包括协议、主机名、路径和查询字符串。

• 字段名： URI 完整

• 类型：String

• 是否支持区分大小写：是

• 匹配值是否允许配置空字符串：否

• 示例值："htt­ps://www.example.com/image/cat.jpg?width=400&height=300&format=webp"

• 使用限制：查看该字段在不同功能中的支持情况

http.request.headers

HTTP 请求中包含的标头信息，以 Map （关联数组）的形式表示。关联数组的键（即：标头名称）里面包含的所有英文字母都必须使用小写形式。

• 字段名：标头

• 类型：Object

• 是否支持区分大小写：是

• 匹配值是否允许配置空字符串：是

• 示例值：{"content-type":["application/json"]}

• 使用限制：查看该字段在不同功能中的支持情况

http.request.method

HTTP 请求使用的请求方法。

• 字段名：请求方法

• 类型：String

• 示例值："GET"

• 使用限制：查看该字段在不同功能中的支持情况

http.request.timestamp.sec

ESA节点收到 HTTP 请求时的 Unix 时间戳（秒）。

• 字段名：请求时间戳

• 类型：Integer

• Unix 时间：（ 1735019278 ）

• 示例值：1735019278

• 使用限制：查看该字段在不同功能中的支持情况

http.request.uri

HTTP 请求的 URI ，包括路径和查询字符串。

• 字段名： URI

• 类型：String

• 是否支持区分大小写：是

• 匹配值是否允许配置空字符串：否

• 使用限制：查看该字段在不同功能中的支持情况

http.request.uri.args

HTTP 请求 URI 中的查询字符串，以 Map （关联数组）的形式表示。

• 字段名： URI 指定查询字符串

• 类型：Map<Array<String>>

• 是否支持区分大小写：是

• 匹配值是否允许配置空字符串：是

• 示例值：{"format":["webp"]}

  说明

  仅在如下匹配运算符时支持空值：

  • 等于

  • 不等于

  • 包含

  • 与正则表达式匹配

• 使用限制：查看该字段在不同功能中的支持情况

http.request.uri.path

HTTP 请求 URI 中的路径。

• 字段名： URI 路径

• 类型：String

• 是否支持区分大小写：是

• 匹配值是否允许配置空字符串：否

• 示例值："/image/cat.jpg"

• 使用限制：查看该字段在不同功能中的支持情况

http.request.uri.path.extension

HTTP 请求 URI 路径中文件的扩展名。

• 字段名：文件扩展名

• 类型：String

• 是否支持区分大小写：是

• 匹配值是否允许配置空字符串：否

• 示例值：

  URI path	Field value
  /cat	""
  /cat.jpg	"jpg"
  /.jpg	""
  /.cat.jpg	"jpg"
  /cat.jpg.tar	"tar"
  /cat.	""
  /cat.JPG	"JPG"

• 使用限制：查看该字段在不同功能中的支持情况

http.request.uri.path.file_name

HTTP 请求 URI 路径中的文件名。

• 字段名：文件名

• 类型：String

• 是否支持区分大小写：是

• 匹配值是否允许配置空字符串：否

• 示例值：

  URI path	Field value
  /cat	"cat"
  /cat.jpg	"cat"
  /.jpg	""
  /.cat.jpg	".cat"
  /cat.jpg.tar	"cat.jpg"
  /cat.	"cat"
  /CAT.jpg	"CAT"

• 使用限制：查看该字段在不同功能中的支持情况

http.request.uri.path.full_file_name

HTTP 请求 URI 路径中的完整文件名。

• 字段名：完整文件名

• 类型：String

• 是否支持区分大小写：是

• 匹配值是否允许配置空字符串：否

• 示例值："cat.jpg"

• 使用限制：查看该字段在不同功能中的支持情况

http.request.uri.query

HTTP 请求 URI 中的查询字符串。

• 字段名： URI 查询字符串

• 类型：String

• 是否支持区分大小写：是

• 匹配值是否允许配置空字符串：否

• 示例值："width=400&height=300&format=webp"

• 使用限制：查看该字段在不同功能中的支持情况

http.request.version

HTTP 请求的 HTTP 协议版本。

• 字段名： HTTP 版本

• 类型：String

• 示例值："HTTP/1.0""HTTP/1.1""HTTP/2.0""HTTP/3.0"

• 使用限制：查看该字段在不同功能中的支持情况

http.user_agent

HTTP 请求中携带的 User-Agent 标头。

• 字段名： User Agent

• 类型：String

• 是否支持区分大小写：是

• 匹配值是否允许配置空字符串：是

• 示例值："Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.X.X Safari/537.36"

• 使用限制：查看该字段在不同功能中的支持情况

http.x_forwarded_for

HTTP 请求中携带的X-Forwarded-For标头。

• 字段名： X-Forwarded-For

• 类型：String

• 是否支持区分大小写：是

• 匹配值是否允许配置空字符串：是

• 示例值："192.168.0.1, 10.10.0.1"

• 使用限制：查看该字段在不同功能中的支持情况

ip.geoip.asnum

请求源 IP 对应网段归属的自治系统编号，详情请参见什么是ASN。

• 字段名： ASN 编号

• 类型： Integer

• 示例值：37963

• 使用限制：查看该字段在不同功能中的支持情况

ip.geoip.continent

请求源 IP 归属的大洲。

• 字段名：洲

• 类型：String

• 示例值：AS

• 使用限制：查看该字段在不同功能中的支持情况

ip.geoip.country

请求源 IP 归属的国家/地区。详情请参见ISO 3166 标准介绍。

• 字段名：国家/地区

• 类型：String

• 是否支持区分大小写：否

• 匹配值是否允许配置空字符串：否

• 示例值："CN"

• 使用限制：查看该字段在不同功能中的支持情况

ip.src

请求源 IP 地址（即：客户端与 ESA 节点建联使用的 IP 地址）。

• 字段名：客户端 IP

• 类型：IP address

• 是否支持区分大小写：否

• 匹配值是否允许配置空字符串：否

• 示例值：192.0.2.1

• 使用限制：查看该字段在不同功能中的支持情况

ip.src.isp

请求源 IP 归属的互联网服务提供商。

• 字段名：运营商

• 类型：String

• 示例值："100017"

• 使用限制：查看该字段在不同功能中的支持情况

ip.src.version

请求源 IP 的 IP 协议版本信息。

• 字段名： IP 协议版本

• 类型：String

• 示例值："IPv4""IPv6"

• 使用限制：查看该字段在不同功能中的支持情况

ip.src.subdivision_1_iso_code

请求源 IP 对应地理位置的第一层细分区域，详情请参见ISO 3166 标准介绍。

• 字段名：省份

• 类型：String

• 是否支持区分大小写：是

• 示例值："CN-ZJ"

• 使用限制：查看该字段在不同功能中的支持情况

ip.src.region_code

请求源 IP 所在地理位置对应的负载均衡器所在区域。

• 字段名：负载均衡器所在区域

• 类型：String

• 是否支持区分大小写：是

• 示例值："EAS"

• 使用限制：查看该字段在不同功能中的支持情况

ip.src.city

请求源 IP 归属的城市代码。

• 字段名：城市代码

• 类型：String

• 是否支持区分大小写：是

• 匹配值是否允许配置空字符串：否

• 示例值："310000"

• 注意事项： ESA 节点对客户端 IP 的地理位置识别在城市级别的精度有限，因此不适合用于封禁请求等场景。

• IP 地址无法识别时，返回默认值 XX。

• 使用限制：查看该字段在不同功能中的支持情况

ip.src.city_name

请求源 IP 归属的城市名称。

• 字段名：城市名称

• 类型：String

• 是否支持区分大小写：是

• 匹配值是否允许配置空字符串：否

• 示例值："hangzhou"

• 注意事项： ESA 节点对客户端 IP 的地理位置识别在城市级别的精度有限，因此不适合用于封禁请求等场景。

• IP 地址无法识别时，返回默认值 XX。

• 使用限制：查看该字段在不同功能中的支持情况

ip.src.lon

请求源 IP 对应地理位置的经度。

• 字段名：经度

• 类型：Float

• 示例值：120.12

• 注意事项： ESA 节点对客户端 IP 的地理位置识别在城市级别的精度有限，因此不适合用于封禁请求等场景。

• IP 地址无法识别时，返回默认值 XX。

• 使用限制：查看该字段在不同功能中的支持情况

ip.src.lat

请求源 IP 对应地理位置的纬度。

• 字段名：纬度

• 类型：Float

• 示例值：30.16

• 注意事项： ESA 节点对客户端 IP 的地理位置识别在城市级别的精度有限，因此不适合用于封禁请求等场景。

• IP 地址无法识别时，返回默认值 XX。

• 使用限制：查看该字段在不同功能中的支持情况

ip.src.postal_code

请求源 IP 归属的城市对应的邮政编码。

• 字段名：邮政编码

• 类型：String

• 是否支持区分大小写：是

• 匹配值是否允许配置空字符串：否

• 示例值："310000"

• IP 地址无法识别时，返回默认值 XX。

• 使用限制：查看该字段在不同功能中的支持情况

ip.src.timezone

请求源 IP 对应地理位置所在的时区。

• 字段名：时区

• 类型：String

• 是否支持区分大小写：是

• 匹配值是否允许配置空字符串：否

• 示例值："UTC+8"

• IP 地址无法识别时，返回默认值 XX。

• 使用限制：查看该字段在不同功能中的支持情况

ssl

请求是否使用 SSL/TLS 协议。

• 字段名： SSL/HTTPS

• 类型：Boolean

• 示例值：true

• 使用限制：查看该字段在不同功能中的支持情况

ali.ja3_hash

JA3 指纹是通过收集客户端在 TLS 握手过程中 Client Hello 消息的特定字段（这些字段包括 TLS 版本、可接受的密码套件、扩展列表、椭圆曲线和椭圆曲线点格式），并且对字段进行 MD5 哈希处理之后生成的。

• 字段名： JA3 指纹

• 类型：String

• 示例值：d0bfcdbbf2c6aeb4e0fbcf8234fd6cb6

• 使用限制：查看该字段在不同功能中的支持情况

ali.ja4

JA4 指纹是 JA3 指纹技术的一个进化版， JA4 指纹包含了更多的握手过程信息或者是对原有信息的不同处理方式，以便提高指纹的唯一性和准确性。

• 字段名： JA4 指纹

• 类型：String

• 示例值：d0bfcdbbf2c6aeb4e0fbcf8234fd6cb6

• 使用限制：查看该字段在不同功能中的支持情况

ali.js_detection.passed

已通过 JavaScript 检测。

• 字段名：已通过 JavaScript 检测

• 类型：Boolean

• 示例值：true

• 使用限制：查看该字段在不同功能中的支持情况

ali.static_resource

是否为静态请求。

• 字段名：静态请求

• 类型：Boolean

• 示例值：true

• 使用限制：查看该字段在不同功能中的支持情况

ali.tls_client_auth.cert_verified

已验证客户端证书。

• 字段名：已验证客户端证书

• 类型：Boolean

• 示例值：true

• 使用限制：查看该字段在不同功能中的支持情况

ali.tls_hash

请求中携带的 TLS 信息对应的哈希值。

• 字段名： TLS 指纹

• 类型：String

• 示例值：ABC123HASH

• 使用限制：查看该字段在不同功能中的支持情况

ali.site.name

客户端请求 URL 中包含的域名对应的 ESA 站点名称。

• 字段名：站点名

• 类型：String

• 示例值："example.com"

• 使用限制：查看该字段在不同功能中的支持情况

http.request.body.raw

HTTP 请求的原始正文内容。

• 字段名： HTTP 请求 Body

• 类型：String

• 示例值："ABC123"

• 使用限制：查看该字段在不同功能中的支持情况