Redirects, Response-Header und HSTS
Transform- und Header-Regeln vorab prüfen, sicher ausrollen und gezielt zurücknehmen.
Diese Anleitung beschreibt die aktuell verfügbaren Regeln pro Anwendung. Sie ändert keine DNS- oder Upstream-Konfiguration und ersetzt keinen getesteten Rollback-Plan für die eigene Domain.
Wirksame Reihenfolge
Der Edge verarbeitet Transform-Regeln in zwei Phasen:
- Redirects werden nach ihrer Position geprüft. Der erste Match liefert die
konfigurierte
301- oder302-Antwort; danach wird weder ein Rewrite noch der Upstream aufgerufen. - Nur wenn kein Redirect passt, werden Rewrites nach ihrer Position geprüft. Der erste Match ersetzt den Pfadpräfix vor dem Relay.
Die Vorschau im Anwendungsschutz zeigt diese Ausführungsreihenfolge. Sie warnt, wenn eine frühere Regel einen späteren Match vollständig überschattet, ein Redirect einen Rewrite unerreichbar macht oder das Ziel auf demselben Host erneut in die Redirect-Regel fällt.
301 oder 302
301ist für eine dauerhaft verlegte URL. Browser und vorgeschaltete Systeme können die Antwort lange cachen. Erst verwenden, wenn Ziel und Rollback geprüft sind.302ist für eine vorübergehende Umleitung und eignet sich für den ersten kontrollierten Rollout.
Bei aktiviertem Restpfad-Erhalt wird nur der gematchte Präfix ersetzt. Aus
/alt/dokumentation/start und Ziel /neu wird beispielsweise
/neu/dokumentation/start. Ohne diese Option lautet das Ziel exakt /neu.
Response-Header
Eine Setzen-Regel überschreibt einen gleichnamigen Upstream-Header. Eine
Entfernen-Regel löscht ihn aus der Antwort. Das gilt für Relay-Antworten und
für bekannte lokale Edge-Antworten wie konfigurierte Redirects, 403, 429
und 502. Ein unbekannter Host erhält keine Header einer fremden Anwendung.
Das Starterpaket zeigt vor dem Anwenden seine vollständige Wirkung: HSTS nur
für den konfigurierten Hostnamen, nosniff, Frame-, Referrer- und
Permissions-Regeln, Entfernen von Server und X-Powered-By sowie das
Starter-Rate-Limit. Erneutes Anwenden ersetzt nur diese Managed Header und
senkt kein bereits gesetztes höheres Anwendungslimit.
HSTS sicher ändern
Der Starter verwendet ausschließlich:
Strict-Transport-Security: max-age=31536000includeSubDomains ist eine erweiterte Einstellung. Sie darf nur verwendet
werden, wenn jede aktuelle und zukünftige Subdomain dauerhaft kontrolliert wird
und gültiges HTTPS ausliefert. Ein Browser behält eine bereits gecachte
HSTS-Regel bis zum Ablauf; das Löschen der Serverregel hebt diesen Cache nicht
sofort auf.
Für einen geplanten HSTS-Rollback:
- Weiterhin gültiges HTTPS ausliefern.
- Den Wert zunächst auf
max-age=0setzen und die Änderung am Zielhost prüfen. - Die Regel erst danach löschen. Bereits gecachte
includeSubDomains-Regeln auf Clients können trotzdem noch wirken.
Rollout und Rollback prüfen
Notiere vor jeder Änderung Match, Position, Ziel und bisherigen Headerwert. Gespeicherte Änderungen erreichen den Edge regulär beim nächsten erfolgreichen Snapshot-Poll innerhalb von 30 Sekunden.
curl -sS -D - -o /dev/null https://app.example.test/alter-pfad
curl -sS -D - -o /dev/null https://app.example.test/Prüfe beim Redirect Status und Location, beim Rewrite den tatsächlich am
Upstream angekommenen Pfad und bei Headern sowohl den gesetzten als auch den
entfernten Wert.
Rollback:
- Redirect/Rewrite: geänderte Regel löschen oder vorherigen Match und Zielwert wiederherstellen; Original- und Zielpfad erneut aufrufen.
- Setzen-Regel: vorherigen Wert wiederherstellen oder die Regel löschen.
- Entfernen-Regel: beim Löschen kann der Upstream-Header wieder sichtbar werden; genau das nach dem Snapshot-Poll prüfen.
- HSTS: den oben beschriebenen
max-age=0-Ablauf verwenden und nicht von einer sofortigen Cache-Rücknahme ausgehen.