接入CDN/WAF后出现循环重定向问题的排查记录

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
简介: 一例客户网站接入CDN/WAF后,出现301循环重定向的问题处理


一、问题描述

客户反馈一个CDN加速域名解析切换到CDNCNAME之后,访问出现301循环重定向的现象。

efa4996e7b9cf25115d00f22e5a0b1674b58b711 

 


与客户确认目前的业务架构如下:

4498f0ba8ac6c1469f9b2d90cb4680a877f33bb9


 

 

测试直接访问WAF(阿里云CDN源站),响应301 Redirect

测试直接访问AWS CloudFront(阿里云WAF源站),可以正常访问到网站内容。

b6ec1ccc514162ae3aae95a9ffe04798433b4714

 

二、分析验证

经过CDN/WAF后得到的结果与直接访问源站的结果不一致的情况,一般来说是由于CDN/WAF回源时的请求与直接访问源站时的请求有区别,导致了源站做出了不同的响应结果。

对于301循环重定向的情况,最常见的一种情况就是http-->https的跳转。问题可以稳定复现,所以很容易测试和定位。

f7bed1ef820e26a5863a185e28570ca5f70946b8

 

 

通过http直接访问AWS CloudFront,可以看到AWS响应了301 Redirect,重定向到https

b43bdabb541cac37cf949130f8278fc5e402c67c

 

 

进一步核实,WAF上配置了“Enable HTTP back-to-source”的开关,强制WAF使用http协议回源。

45dc3a671d2d12744a24902f62eee5b6aad5b499

 

 

循环重定向的访问路径:

客户浏览器 https --> 阿里云CDN https--> 阿里云WAF http --> AWS CloudFront CDN 301 --> 客户浏览器 https

 

四、解决方案

1、首先,联系客户在WAF控制台上关闭“Enable HTTP back-to-source”的开关,使WAF回源时使用https协议。

2、此外,注意到客户在CDN上开启了“Use the same protocol as the back-to-source protocol”的开关,这时,如果用户通过http协议访问CDNCDN使用http协议回源,所以建议客户同时在CDN控制台上关闭“Use the same protocol as the back-to-source protocol”的开关,强制CDN使用https协议回源WAF

3ce04b5ec7b5294901c10d12b6e8448a3d6409a4

最后,为了清空CDN301状态的缓存,请客户在CDN控制台上进行手工刷新操作。

客户反馈操作完成后,测试业务恢复正常。

 

五、新的问题

问题解决几分钟后,客户反馈部分的PC、手机上访问网站还是会出现301循环重定向的情况。有的人,同一台电脑上的不同浏览器,有些正常,有些不正常。尝试清理浏览器的缓存后问题依旧。

a7d4aadd297bee291387830ca06ef781b6f3a752 


六、分析测试

通过在有问题的客户端上分析http响应头,发现一些CDN节点上还有301状态的缓存。难道是刷新没有完全成功?

进一步查看CDN节点的缓存时间,是在客户操作之后才缓存的。

4e80d31bdf09870976276525e9a533efdf589d0f

 

 

通过检查客户CDN配置,发现客户没有关闭“Use the same protocol as the back-to-source protocol”的开关。

而另一方面,当有https的请求发到AWS上时,AWS响应的200 OK的响应头中有no-cacheheader

a9f8541cfaf509430c7428c8969e3637a2acac60

 

 

当有http的请求发到AWS上时,AWS响应的301 Redirect的响应头中没有no-cacheheader

c4ce1d37c80aae32ec662539cb1c725dc16bcd53

所以无论有多少人正常的通过https协议成功网站,CDN都不会缓存。而一旦有人不小心用http协议访问了这个网址后,CDN就会缓存住301的状态,导致后续的访问者(无论是http还是https)都会出现301循环重定向的错误。

此外,对于301的状态,一些浏览器(FireFox、移动端的Safari等)会一直进行缓存,所以还需要手工清理浏览器的本地缓存。

 

七、彻底解决

1、联系客户关闭“Use the same protocol as the back-to-source protocol”的开关。

2、与客户确认业务不需要http协议的访问,在阿里云CDN上配置http --> https的跳转。

e81ab707b0c8f554e1df83f6f617e21ac7f47079

3、操作后,手工刷新CDN缓存,测试全部恢复正常。

 

八、附录:CDN/WAF访问协议处理流程

9d523d9e6b1ab6dd44484941450984ee20466a65

 

相关实践学习
Serverless极速搭建Hexo博客
本场景介绍如何使用阿里云函数计算服务命令行工具快速搭建一个Hexo博客。
目录
相关文章
【技术干货连载 一】业务经过WAF HTTP 400问题排查
教你如何排查和解决业务经过WAF 七层代理HTTP 400问题原因?
264 1
Web架构&OSS存储&负载均衡&CDN加速&反向代理&WAF防护
Web架构&OSS存储&负载均衡&CDN加速&反向代理&WAF防护
111 1
CDN页面优化不生效排查遇到的坑
如果源站响应给CDN的数据是Gzip压缩以后的数据会导致CDN的页面优化不生效。本文详细讲述了问题的原因以及排查过程,并讲述了Nginx关于Gzip的压缩配置,同时介绍了CDN作为代理服务,引入了Via header以后对Nginx服务器的影响。
6272 1
CDN页面优化不生效排查遇到的坑
【案例分享】CDN+WAF流量突增排查案例
阿里云CDN结合WAF使用,WAF作为CDN的源站,是较为常见的使用方式,可以充分发挥CDN的分发加速以及WAF的安全防护能力,一般架构为CDN-->WAF-->SLB-->ECS;但复杂的架构往往也会增大问题排查的复杂程度,本文和大家分享一起由于WAF配置问题引发CDN流量异常增长的案例。
1917 0
【案例分享】CDN+WAF流量突增排查案例
CDN 499 问题排查
本文主要针对客户 CDN 加速域名出现 499 的排查方法
3777 0
阿里云CDN边缘脚本实现+字符转义%2B
对象存储OSS中,文件名包含+字符时,请求URL未转义会导致404错误。解决方法是将URL中的+字符转义为%2B,或通过CDN/DCDN边缘脚本自动转义。示例脚本:若URI包含+,则替换为%2B。
30 10
将Certbot/ACME.sh自动化申请的证书自动部署到阿里云CDN
本文介绍了阿里云 CDN SSL 证书自动更新工具,定期检查证书有效期,使用Let's Encrypt 等工具签发的证书自动更新至阿里云 CDN,支持 Docker 及 .NET 8 部署,简化证书管理流程。
阿里云CDN遇到攻击?别慌,教你如何应对!
阿里云CDN遇到攻击?别慌,教你如何应对!