接入CDN/WAF后出现循环重定向问题的排查记录

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
简介: 一例客户网站接入CDN/WAF后,出现301循环重定向的问题处理

作者:睿得

一、问题描述

客户反馈一个CDN加速域名解析切换到CDN的CNAME之后,访问出现301循环重定向的现象。

image.png

与客户确认目前的业务架构如下:

image.png

测试直接访问WAF(阿里云CDN源站),响应301 Redirect;

测试直接访问AWS CloudFront(阿里云WAF源站),可以正常访问到网站内容。

image.png

二、分析验证

经过CDN/WAF后得到的结果与直接访问源站的结果不一致的情况,一般来说是由于CDN/WAF回源时的请求与直接访问源站时的请求有区别,导致了源站做出了不同的响应结果。

对于301循环重定向的情况,最常见的一种情况就是http-->https的跳转。问题可以稳定复现,所以很容易测试和定位。

image.png

通过http直接访问AWS CloudFront,可以看到AWS响应了301 Redirect,重定向到https。

image.png

进一步核实,WAF上配置了“Enable HTTP back-to-source”的开关,强制WAF使用http协议回源。

image.png

循环重定向的访问路径:

客户浏览器 https --> 阿里云CDN https--> 阿里云WAF http --> AWS CloudFront CDN 301 --> 客户浏览器 https

四、解决方案

1、首先,联系客户在WAF控制台上关闭“Enable HTTP back-to-source”的开关,使WAF回源时使用https协议。

2、此外,注意到客户在CDN上开启了“Use the same protocol as the back-to-source protocol”的开关,这时,如果用户通过http协议访问CDN,CDN使用http协议回源,所以建议客户同时在CDN控制台上关闭“Use the same protocol as the back-to-source protocol”的开关,强制CDN使用https协议回源WAF。

image.png

最后,为了清空CDN上301状态的缓存,请客户在CDN控制台上进行手工刷新操作。

客户反馈操作完成后,测试业务恢复正常。

五、新的问题

问题解决几分钟后,客户反馈部分的PC、手机上访问网站还是会出现301循环重定向的情况。有的人,同一台电脑上的不同浏览器,有些正常,有些不正常。尝试清理浏览器的缓存后问题依旧。

image.png

六、分析测试

通过在有问题的客户端上分析http响应头,发现一些CDN节点上还有301状态的缓存。难道是刷新没有完全成功?

进一步查看CDN节点的缓存时间,是在客户操作之后才缓存的。

image.png

通过检查客户CDN配置,发现客户没有关闭“Use the same protocol as the back-to-source protocol”的开关。

而另一方面,当有https的请求发到AWS上时,AWS响应的200 OK的响应头中有no-cache的header。

image.png

当有http的请求发到AWS上时,AWS响应的301 Redirect的响应头中没有no-cache的header。

image.png

所以无论有多少人正常的通过https协议成功网站,CDN都不会缓存。而一旦有人不小心用http协议访问了这个网址后,CDN就会缓存住301的状态,导致后续的访问者(无论是http还是https)都会出现301循环重定向的错误。

此外,对于301的状态,一些浏览器(FireFox、移动端的Safari等)会一直进行缓存,所以还需要手工清理浏览器的本地缓存。

七、彻底解决

1、联系客户关闭“Use the same protocol as the back-to-source protocol”的开关。

2、与客户确认业务不需要http协议的访问,在阿里云CDN上配置http --> https的跳转。

image.png

3、操作后,手工刷新CDN缓存,测试全部恢复正常。

八、附录:CDN/WAF访问协议处理流程

image.png

相关文章
|
9月前
|
测试技术 网络架构
【技术干货连载 一】业务经过WAF HTTP 400问题排查
教你如何排查和解决业务经过WAF 七层代理HTTP 400问题原因?
316 1
|
1天前
|
开发者 CDN
阿里云CDN边缘脚本示例实现/?p123重定向/p/123.html
本文介绍了如何通过EdgeScript实现URL重定向,将`http://www.example.com/?p123`重定向到`http://www.example.com/p/123.html`。使用捕获请求URI中的参数并进行重写,具体代码和内置变量参考阿里云CDN开发者文档。示例代码展示了关键的实现步骤。
19 8
|
4月前
|
缓存 网络安全 数据安全/隐私保护
使用阿里云国际CDN加速后网站无法访问的排查步骤
使用阿里云国际CDN加速后网站无法访问的排查步骤
|
8月前
|
存储 负载均衡 应用服务中间件
Web架构&OSS存储&负载均衡&CDN加速&反向代理&WAF防护
Web架构&OSS存储&负载均衡&CDN加速&反向代理&WAF防护
159 1
|
安全 应用服务中间件 nginx
CDN页面优化不生效排查遇到的坑
如果源站响应给CDN的数据是Gzip压缩以后的数据会导致CDN的页面优化不生效。本文详细讲述了问题的原因以及排查过程,并讲述了Nginx关于Gzip的压缩配置,同时介绍了CDN作为代理服务,引入了Via header以后对Nginx服务器的影响。
6335 1
CDN页面优化不生效排查遇到的坑
|
弹性计算 监控 Kubernetes
【案例分享】CDN+WAF流量突增排查案例
阿里云CDN结合WAF使用,WAF作为CDN的源站,是较为常见的使用方式,可以充分发挥CDN的分发加速以及WAF的安全防护能力,一般架构为CDN-->WAF-->SLB-->ECS;但复杂的架构往往也会增大问题排查的复杂程度,本文和大家分享一起由于WAF配置问题引发CDN流量异常增长的案例。
1953 0
【案例分享】CDN+WAF流量突增排查案例
|
SQL 缓存 监控
CDN 499 问题排查
本文主要针对客户 CDN 加速域名出现 499 的排查方法
3828 0
|
域名解析 弹性计算 网络协议
|
20天前
|
CDN
阿里云CDN收费标准,不同计费模式价格表(基础服务费和增值服务费用整理)
阿里云CDN的计费包括基础费用和增值费用。基础费用有三种计费方式:按流量、带宽峰值和月结95带宽峰值,默认按流量计费。增值服务如HTTPS、QUIC、WAF和实时日志等,使用才收费。详细价格和规则请参考阿里云官网。
74 12
|
20天前
|
CDN
阿里云CDN怎么收费?看这一篇就够了,CDN不同计费模式收费价格全解析
阿里云CDN的费用由基础费用和增值费用组成。基础费用有三种计费方式:按流量、按带宽峰值和月结95带宽峰值,默认为按流量计费,价格根据使用量阶梯递减。增值费用包括静态HTTPS请求、QUIC请求等,按实际使用量收费,不使用不收费。具体收费标准和详细规则可参考阿里云官方页面。