Der Abschnitt Managed Transforms unter der Registerkarte Settings unter der Überschrift „Rules“ von Cloudflare ermöglicht es Ihnen, automatische Transformationen an HTTP-Anfrage- und Antwortheadern durchzuführen. Diese Transformationen werden in der Regel für Sicherheit, Datenschutz und Compliance verwendet.
In diesem Artikel werden alle Optionen unter Managed Transforms einzeln und detailliert erklärt, was sie bewirken und in welchen Fällen Sie sie Schritt für Schritt aktivieren sollten.
HTTP-Request-Header-Transformationen (Eingehende Anfragen)
1. TLS-Client-Auth-Header hinzufügen
-
Wenn Sie die gegenseitige TLS-Authentifizierung (mTLS) verwenden, werden mit dieser Option Informationen zum Clientzertifikat als benutzerdefinierte HTTP-Header mit der Anfrage übertragen.
-
Hinzugefügte Header:
-
Cf-Tls-Client-Cert-Subject-Dn
-
Cf-Tls-Client-Cert-Issuer-Dn
-
Cf-Tls-Client-Cert-Serial
-
-
Wann sollte es verwendet werden? Es ist erforderlich, wenn serverseitig eine spezielle Verarbeitung basierend auf dem Clientzertifikat erfolgen soll.
2. Besucherstandort-Header hinzufügen
-
Fügt Header mit geografischen Standortinformationen aus der IP-Adresse des Besuchers hinzu:
-
CF-IPCountry
,CF-Region
,CF-City
,CF-Longitude
,CF-Latitude
-
-
Verwendungszweck: Standortbasierte Inhaltsanzeige (z. B. Weiterleitung nach Land) oder Analyse
3. Besucher-IP-Header entfernen
-
Löscht HTTP-Header, die möglicherweise die IP-Adresse des Besuchers enthalten (z. B.
X-Forwarded-For
). -
Hinweis: Wenn diese Funktion aktiviert ist, kann
Add True-Client-IP
nicht aktiviert werden. -
Sollte aktiviert werden, wenn Sie aus Datenschutzgründen keine IP-Adresse speichern möchten.
4. "True-Client-IP"-Header hinzufügen
-
Fügt den Header
True-Client-IP
hinzu, der die tatsächliche IP-Adresse des Besuchers enthält. -
Dient insbesondere dazu, die ursprüngliche IP-Adresse für Server zu ermitteln, die hinter einem Cloudflare-Proxy ausgeführt werden.
-
Hinweis: Kann nicht zusammen mit „Besucher-IP-Header entfernen“ verwendet werden.
5. Header für Überprüfung auf durchgesickerte Anmeldeinformationen hinzufügen
-
Wenn diese Option aktiviert ist, wird ein benutzerdefinierter Header namens
Exposed-Credential-Check
hinzugefügt. -
Wenn Formularinformationen, Benutzernamen oder Passwörter im System durchgesickert sind, meldet Cloudflare dies über diesen Header.
-
Dient zur Erkennung von Sicherheitslücken. Wird aktiviert, wenn Anmeldeinformationen durchgesickert sind.
HTTP-Response-Header-Transformationen (Antworten vom Server)
1. "X-Powered-By"-Header entfernen
-
Der Header
X-Powered-By
, der die in den Antworten des Servers verwendete Infrastruktur angibt (z. B. PHP/7.4), wird entfernt. -
Aus Sicherheitsgründen empfohlen, da es das Durchsickern von Informationen über Ihre Infrastruktur verhindert.
2. Sicherheitsheader hinzufügen
-
Fügt die folgenden Sicherheitsheader automatisch zum Antwortheader hinzu:
-
X-XSS-Protection
-
X-Content-Type-Options
-
Referrer-Policy
-
X-Frame-Options
-
-
Diese Header sind sehr wichtig, um sich vor Angriffen wie XSS und Clickjacking zu schützen.
URL-Normalisierungseinstellungen
1. Eingehende URLs normalisieren
-
Auf den Cloudflare-Edge-Servern werden die URLs in eingehenden Anfragen normalisiert.
-
Das heißt, codierte Zeichen wie
%2F
werden aufgelöst, unnötige Wiederholungen wie/./
,//
werden vereinfacht. -
Systeme wie Page Rules, WAF und Workers verwenden die normalisierte URL als Grundlage.
-
Standardmäßig empfohlene Einstellung.
2. URLs zum Ursprung normalisieren
-
Mit dieser Option wird die normalisierte URL nicht nur an Cloudflare, sondern auch in normalisierter Form an den ursprünglichen Server übertragen.
-
Einige Anwendungen reagieren empfindlich auf das ursprüngliche URL-Format, daher sollte diese Option mit Vorsicht verwendet werden.
3. Normalisierungstyp
-
RFC-3986: Vereinfachung gemäß dem URI-Standard (am strengsten)
-
Cloudflare: Enthält zusätzliche Transformationen. Zum Beispiel:
-
\
→/
-
////
→/
-
-
Empfehlung: Wenn Sie mit komplexen URLs arbeiten, kann der Cloudflare-Typ toleranter sein
Fazit
Cloudflare Managed Transforms ermöglicht es Ihnen, Ihre Website nicht nur in Bezug auf die Leistung, sondern auch in Bezug auf Sicherheit und Datenschutz zu verbessern. Dank dieser Einstellungen:
-
Benutzerheader werden vereinfacht
-
Sensible Informationen werden geschützt
-
Header- und URL-Manipulationen werden reguliert
Wenn Ihre Website Anpassungen basierend auf der Geografie der Besucher vornimmt, Wert auf Serversicherheit legt oder Serverheader kontrollieren möchte, wird die Aktivierung dieser Einstellungen dringend empfohlen.