Der Abschnitt Managed Transforms unter der Registerkarte Settings unter der Überschrift „Rules“ von Cloudflare ermöglicht es Ihnen, automatische Transformationen an HTTP-Anfrage- und Antwortheadern durchzuführen. Diese Transformationen werden in der Regel für Sicherheit, Datenschutz und Compliance verwendet.

In diesem Artikel werden alle Optionen unter Managed Transforms einzeln und detailliert erklärt, was sie bewirken und in welchen Fällen Sie sie Schritt für Schritt aktivieren sollten.

HTTP-Request-Header-Transformationen (Eingehende Anfragen)

1. TLS-Client-Auth-Header hinzufügen

Wenn Sie die gegenseitige TLS-Authentifizierung (mTLS) verwenden, werden mit dieser Option Informationen zum Clientzertifikat als benutzerdefinierte HTTP-Header mit der Anfrage übertragen.
Hinzugefügte Header:
- Cf-Tls-Client-Cert-Subject-Dn
- Cf-Tls-Client-Cert-Issuer-Dn
- Cf-Tls-Client-Cert-Serial
Wann sollte es verwendet werden? Es ist erforderlich, wenn serverseitig eine spezielle Verarbeitung basierend auf dem Clientzertifikat erfolgen soll.

2. Besucherstandort-Header hinzufügen

Fügt Header mit geografischen Standortinformationen aus der IP-Adresse des Besuchers hinzu:
- CF-IPCountry, CF-Region, CF-City, CF-Longitude, CF-Latitude
Verwendungszweck: Standortbasierte Inhaltsanzeige (z. B. Weiterleitung nach Land) oder Analyse

3. Besucher-IP-Header entfernen

Löscht HTTP-Header, die möglicherweise die IP-Adresse des Besuchers enthalten (z. B. X-Forwarded-For).
Hinweis: Wenn diese Funktion aktiviert ist, kann Add True-Client-IP nicht aktiviert werden.
Sollte aktiviert werden, wenn Sie aus Datenschutzgründen keine IP-Adresse speichern möchten.

4. "True-Client-IP"-Header hinzufügen

Fügt den Header True-Client-IP hinzu, der die tatsächliche IP-Adresse des Besuchers enthält.
Dient insbesondere dazu, die ursprüngliche IP-Adresse für Server zu ermitteln, die hinter einem Cloudflare-Proxy ausgeführt werden.
Hinweis: Kann nicht zusammen mit „Besucher-IP-Header entfernen“ verwendet werden.

5. Header für Überprüfung auf durchgesickerte Anmeldeinformationen hinzufügen

Wenn diese Option aktiviert ist, wird ein benutzerdefinierter Header namens Exposed-Credential-Check hinzugefügt.
Wenn Formularinformationen, Benutzernamen oder Passwörter im System durchgesickert sind, meldet Cloudflare dies über diesen Header.
Dient zur Erkennung von Sicherheitslücken. Wird aktiviert, wenn Anmeldeinformationen durchgesickert sind.

HTTP-Response-Header-Transformationen (Antworten vom Server)

1. "X-Powered-By"-Header entfernen

Der Header X-Powered-By, der die in den Antworten des Servers verwendete Infrastruktur angibt (z. B. PHP/7.4), wird entfernt.
Aus Sicherheitsgründen empfohlen, da es das Durchsickern von Informationen über Ihre Infrastruktur verhindert.

2. Sicherheitsheader hinzufügen

Fügt die folgenden Sicherheitsheader automatisch zum Antwortheader hinzu:
- X-XSS-Protection
- X-Content-Type-Options
- Referrer-Policy
- X-Frame-Options
Diese Header sind sehr wichtig, um sich vor Angriffen wie XSS und Clickjacking zu schützen.

URL-Normalisierungseinstellungen

1. Eingehende URLs normalisieren

Auf den Cloudflare-Edge-Servern werden die URLs in eingehenden Anfragen normalisiert.
Das heißt, codierte Zeichen wie %2F werden aufgelöst, unnötige Wiederholungen wie /./, // werden vereinfacht.
Systeme wie Page Rules, WAF und Workers verwenden die normalisierte URL als Grundlage.
Standardmäßig empfohlene Einstellung.

2. URLs zum Ursprung normalisieren

Mit dieser Option wird die normalisierte URL nicht nur an Cloudflare, sondern auch in normalisierter Form an den ursprünglichen Server übertragen.
Einige Anwendungen reagieren empfindlich auf das ursprüngliche URL-Format, daher sollte diese Option mit Vorsicht verwendet werden.

3. Normalisierungstyp

RFC-3986: Vereinfachung gemäß dem URI-Standard (am strengsten)
Cloudflare: Enthält zusätzliche Transformationen. Zum Beispiel:
- \ → /
- //// → /
Empfehlung: Wenn Sie mit komplexen URLs arbeiten, kann der Cloudflare-Typ toleranter sein

Fazit

Cloudflare Managed Transforms ermöglicht es Ihnen, Ihre Website nicht nur in Bezug auf die Leistung, sondern auch in Bezug auf Sicherheit und Datenschutz zu verbessern. Dank dieser Einstellungen:

Benutzerheader werden vereinfacht
Sensible Informationen werden geschützt
Header- und URL-Manipulationen werden reguliert

Wenn Ihre Website Anpassungen basierend auf der Geografie der Besucher vornimmt, Wert auf Serversicherheit legt oder Serverheader kontrollieren möchte, wird die Aktivierung dieser Einstellungen dringend empfohlen.