Edge Security Acceleration：託管轉換

功能介紹

開啟託管轉換後，ESA將在邊緣節點處添加一部分常用的回源請求標題和安全響應標題，其工作流程如下：

• HTTP要求標頭（用戶端 → ESA → 來源站點）：當邊緣節點收到用戶端請求後，可根據您的配置，在將請求轉寄到來源站點伺服器之前，添加特定的HTTP要求標頭，包括：

  類型	包含的Header	說明
  添加真實用戶端IP標題	ali-real-client-ip	記錄建立TCP串連的用戶端真實IP地址，此標題由ESA在邊緣節點添加，比用戶端可能偽造的X-Forwarded-For標題更可信。
  添加訪問者位置標題	ali-ip-country ali-ip-city	基於用戶端真實IP，查詢IP地理位置資料庫，並添加對應的省/地區、城市代碼作為標題值。標題取值為 ISO 3166-1定義的 Alpha2 格式的省/地區2位字母碼，例如：ali-ip-country=cn代表用戶端 IP 地理位置位於中國內地。
  添加安全要求標頭	Tls-Hash Tls-Ja3 Tls-Ja4	分析用戶端TLS握手資訊，產生JA3和JA4指紋，用於識別用戶端類型或檢測機器人，包括Tls-Hash、Tls-Ja3、Tls-Ja4。 TLS指紋標題僅在企業版套餐中會有對應值。

• HTTP回應標頭（ESA → 用戶端）：當ESA收到來源站點的響應後，在將其返回給用戶端之前，會根據您的配置添加一組標準的安全回應標頭。

  說明

  如果來源站點響應已包含同名安全頭，ESA預設會覆蓋來源站點的標題值，以確保策略的一致性。

  類型	包含的Header	說明
  添加安全回應標頭	x-content-type-options: nosniff	用於防護MIME類型混淆攻擊，要求瀏覽器必須遵守回應標頭中的Content-Type聲明的類型；nosniff表示啟用strict 模式。
  	x-xss-protection: 1; mode=block	用於防護反射型XSS攻擊（惡意指令碼通過URL參數注入）。1表示啟用XSS過濾；mode=block表示觸發過濾時直接阻止頁面渲染
  	x-frame-options: SAMEORIGIN	限制頁面嵌入許可權，用於防護點擊劫持攻擊。SAMEORIGIN表示僅允許同源網域名稱嵌入（如example.com的頁面只能被example.com的其他頁面嵌套）。
  	referrer-policy: same-origin	用於控制Referer頭資訊泄露，避免跨域請求時泄露使用者行為路徑。same-origin表示僅在同源請求中發送完整Referer，跨域請求不發送Referer。
  	expect-ct: max-age=86400, enforce	用於異常認證的檢測。max-age=86400表示策略有效期間為24小時；enforce表示強制瀏覽器拒絕未符合認證透明要求的串連。

配置用戶端資訊以提供請求分析參考

在回源請求中自動添加包含用戶端真實IP、地理位置和TLS指紋的HTTP標題，便於來源站點應用擷取更多用戶端內容資訊。

配置安全回應標頭以加固用戶端安全

在用戶端響應中自動添加一組標準的安全標題，防禦XSS、點擊劫持等攻擊，以增強Web應用的安全性。