Edge Security Acceleration (ESA) のマネージド変換機能は、リアルクライアント IP、位置情報、TLS フィンガープリントなどの情報を記録するヘッダーをオリジンリクエストに自動的に追加します。この機能は、標準的なセキュリティヘッダーをクライアントレスポンスに追加することもでき、一般的なリクエストヘッダーとセキュリティヘッダーの設定を簡素化します。
仕組み
マネージド変換を有効にすると、ESA はエッジノードでヘッダーを追加します。リクエストには一般的なオリジンリクエストヘッダーが、レスポンスにはセキュリティレスポンスヘッダーが追加されます。リクエストのワークフローは以下のとおりです。
HTTP リクエストヘッダー (クライアント → ESA → オリジンサーバー):エッジノードがクライアントリクエストを受信すると、設定に基づいて特定の HTTP リクエストヘッダーを追加してから、リクエストをオリジンサーバーに転送します。これには以下のヘッダーが含まれます。
タイプ
追加されるヘッダー
説明
リアルクライアント IP ヘッダーの追加
ali-real-client-ipTCP 接続を確立したクライアントのリアル IP アドレスを記録します。このヘッダーは ESA によってエッジノードで追加されるため、クライアントによって偽装される可能性がある
X-Forwarded-Forヘッダーよりも信頼性が高くなります。訪問者の位置情報ヘッダーの追加
ali-ip-countryali-ip-city
リアルクライアント IP に基づき、ESA は IP 位置情報データベースを照会し、対応する国/地域および都市コードをヘッダー値として追加します。ヘッダー値には、ISO 3166-1 で定義されている 2 文字の Alpha-2 国/地域コードが使用されます。たとえば、
ali-ip-country=cnは、クライアント IP の位置情報が中国本土であることを示します。セキュリティリクエストヘッダーの追加
Tls-HashTls-Ja3Tls-Ja4
クライアントの TLS ハンドシェイク情報を分析して、JA3 および JA4 フィンガープリントを生成します。これらのフィンガープリントは、クライアントタイプの識別やボットの検出に役立ちます。ヘッダーには、
Tls-Hash、Tls-Ja3、Tls-Ja4が含まれます。TLS フィンガープリントヘッダーは、enterprise plan のウェブサイトでのみ追加されます。
アカウントセキュリティリスク情報
Esa-User-Riskアカウントセキュリティ (ATO) 機能を有効にすると、リクエストはアカウント識別子とリスクスコアを含むアカウントセキュリティリスク情報を、オリジンサーバーに自動的に送信します。たとえば、
account_name:test2***@gmail.com;risk_coefficient:85は、アカウント名がtest****@gmail.comで、リスクスコアが 85 であることを示します。このヘッダーは、マネージド変換 ページで手動で設定する必要はありません。アカウントセキュリティ 機能を有効にすると、オリジンリクエストに自動的に追加されます。
HTTP レスポンスヘッダー (ESA → クライアント):ESA がオリジンサーバーからレスポンスを受信すると、設定に基づいて標準的なセキュリティレスポンスヘッダーのセットを追加してから、レスポンスをクライアントに返します。
説明オリジンサーバーからのレスポンスに同じ名前のセキュリティヘッダーが既に含まれている場合、ESA はデフォルトでオリジンサーバーからのヘッダー値を上書きし、ポリシーの一貫性を確保します。
タイプ
追加されるヘッダー
説明
セキュリティレスポンスヘッダーの追加
x-content-type-options: nosniffMIME タイプのスニッフィング攻撃を防ぐため、ブラウザがレスポンスヘッダーで宣言された
Content-Typeに厳密に従うよう要求します。nosniff値により、この厳格モードが有効になります。x-xss-protection: 1; mode=blockURL パラメータを介して悪意のあるスクリプトが挿入される反射型クロスサイトスクリプティング (XSS) 攻撃から保護します。値
1は XSS フィルターを有効にします。値mode=blockは、フィルターがトリガーされた場合にページのレンダリングを防止します。x-frame-options: SAMEORIGINクリックジャッキング攻撃から保護するため、ページの埋め込み方法を制限します。値
SAMEORIGINは、同一オリジンのページによる埋め込みのみを許可します。たとえば、example.comのページは、example.comの他のページによってのみ埋め込むことができます。referrer-policy: same-originReferer ヘッダーの漏洩を制御し、クロスオリジンリクエストでユーザーのナビゲーションパスが公開されるのを防ぎます。値
same-originは、同一オリジンリクエストの場合にのみ完全な Referer を送信します。クロスオリジンリクエストの場合、Referer は送信されません。expect-ct: max-age=86400, enforceこのヘッダーは、準拠していない証明書の検出に役立ちます。値
max-age=86400は、ポリシーの有効期間を 24 時間に設定します。値enforceは、証明書の透明性要件を満たさない接続をブラウザが拒否するよう要求します。
リクエスト分析のためのクライアント情報の設定
この機能は、リアルクライアント IP、位置情報、TLS フィンガープリントを含む HTTP ヘッダーをオリジンリクエストに自動的に追加し、アプリケーションに対してより多くのクライアントコンテキストを提供します。
操作手順
ESA コンソールで、サイト管理を選択します。サイト 列で、対象のウェブサイトをクリックします。
左側のナビゲーションペインで、 を選択します。
変換ルール ページで、マネージド変換 タブをクリックします。

必要なヘッダーを選択します。
クライアントのリアル IP ヘッダーの追加: オリジンサーバーがリクエストを開始したクライアントのリアル IP アドレスを取得できるように、
ali-real-client-ipヘッダーを送信します。設定 をクリックし、[ステータス] スイッチをオンにして、デフォルトのali-real-client-ipを使用するかカスタムヘッダー名を指定するかを選択してから、OK をクリックします。
[クライアント IP 位置情報リクエストヘッダーの追加]:
ali-ip-countryヘッダーとali-ip-cityヘッダーを送信して、オリジンサーバーがクライアントの国/地域コードと都市コードを取得できるようにします。
[セキュリティリクエストヘッダーの追加]:
Tls-Hash、Tls-Ja3、Tls-Ja4などのヘッダーを送信し、オリジンサーバーにクライアントタイプの識別やボット検出のための情報を提供します。
結果
設定を確認するには、オリジンサーバーで ESA からのオリジンリクエストを監視し、ログを確認します。
機能を有効にする前
基本的なリクエストヘッダーのみが含まれています。

機能を有効にした後
ESA で [リアルクライアント IP ヘッダーを追加]、クライアント IP 位置情報リクエストヘッダーの追加、および セキュリティリクエストヘッダーの追加 を有効にすると、オリジンリクエストには ali-ip-country、Tls-Hash、Tls-Ja3、Tls-Ja4、ali-ip-city、ali-real-client-ip などのヘッダーが含まれます。
IPv4形式でのクライアントIPの取得
マネージド変換を有効にすると、ali-real-client-ip ヘッダーに記録されるリアルクライアント IP の形式は、クライアントが接続するエッジノードのプロトコルによって異なります。クライアントが IPv6 エッジノードを介して接続する場合、ヘッダー値は IPv6 形式になります。
IPv4 形式でリアル IP を取得するには、「ネットワーク最適化の設定」で [IPv6] スイッチを無効にします。このスイッチを無効にすると、クライアントは IPv4 POP を介してサービスにアクセスし、ali-real-client-ip ヘッダーの値は IPv4 形式になります。
セキュリティレスポンスヘッダーの設定
この機能は、標準的なセキュリティヘッダーをクライアントレスポンスに自動的に追加し、XSS やクリックジャッキングなどの攻撃から防御することで、ウェブアプリケーションのセキュリティを強化します。
操作手順
ESA コンソールで、サイト管理を選択します。サイト 列で、対象のウェブサイトをクリックします。
左側のナビゲーションペインで、を選択します。
変換ルール ページで、マネージド変換 タブをクリックします。

セキュリティレスポンスヘッダーの追加 セクションで、スイッチをオンにしてクライアントレスポンスにセキュリティヘッダーを追加します。

結果
設定を検証するには、ブラウザで開発者ツールを開き、でレスポンスヘッダーを確認します。
機能を有効にする前
基本的なレスポンスヘッダーのみが含まれています。

機能を有効にした後
ESA で セキュリティレスポンスヘッダーの追加 を有効にすると、レスポンスには次のヘッダーが含まれます: expect-ct: max-age=86400, enforce、 referrer-policy: same-origin、 x-content-type-options: nosniff、 x-xss-protection: 1; mode=block、および x-frame-options: SAMEORIGIN。