Cloudflare 在中国频道

2021-09-13 22:17:44 Cloudflare 支持图像资源多型缓存

机制
浏览器<-Accept->Cloudflare<-Vary:Accept->源站

工作细节
源站上，为图像文件拓展（目前支持： avif、bmp、gif、jpg、jpeg、jp2、jpg2、png、tif、tiff、webp ）设置 Vary:Accept 响应头，申明让Cloudflare进行图像类型转换并缓存

Cloudflare上，目前通过 API 去指定那些文件拓展类型需要进行格式转换（Pro及以上用户可用）

在资源被访问时，根据访客浏览器所申明支持（Accept）的图像文件类型，返回最佳资源类型

API文档
Variants setting

Vary for Images: Serve the Correct Images to the Correct Browsers
@Cloudflare_CN 打开/如何

2021-06-08 17:23:30 Cloudflare 开放支持HTTP请求头重写

功能定位
用户<-HTTP->Cloudflare<-重写请求头回源->源站

常见应用场景
鉴权，用于回源验证
传递特定参数
删除/过滤敏感数据

细节
只允许 设置静态、动态（使用函数）、删除 请求头，三选一
每条规则最多十个请求头配置

可用
面向所有用户可用

相关文档
Functions

Modify HTTP request headers with Transform Rules
Via @Cloudflare_CN 打开/如何

2021-03-26 00:15:35 Cloudflare发布页面防护（Page Shield）封测

Page Shield是一种面向客户端安全的功能服务，客户可以使用它来检测来自访客浏览器中发生的脚本攻击、数据泄露等

脚本监控（Script Monitor ）
通过记录网站随时间推移的JavaScript依赖关系。比对发现新的JavaScript依赖项时会触发警报，方便Web应用程序所有者可以及时调查它们是否为预期更改并做出响应
*该功能无需用户维护内容安全策略（CSP）列表
*目前仅限商业、企业版用户申请测试

封测申请入口

Page Shield: Protect User Data In-Browser
#Cloudflare #发布 #上新 #封测
Via @Cloudflare_CN 打开/如何

2021-03-11 07:05:15 Cloudflare即将弃用的部分HTTP Header

关于 __cfduid Cookie标识即将弃用
从2021年3月31日，在世界标准时间15:00至23:00之间尝试临时删除 cfduid cookie
从2021年5月10日开始，Cloudflare将永久停止在所有HTTP响应上添加 Set-Cookie 设置该HTTP Header标识
最后的 __cfduid cookie将在此之后30天过期

关于移除 cf-request-id 标识
2020年中，Cloudflare引入了一个实验性的HTTP标头cf-request-id。此标头存在于发送给源的请求中，并在响应时返回。经过仔细评估，Cloudflare决定删除cf-request-id标头

cf-request-id现正式进入弃用状态，Cloudflare计划将于2021年6月15日世界标准时（UTC 0）：15:00～23:00间进行临时测试移除 cf-request-id标头，在此时间之后，它将还存在一段时间，直到2021年7月1日将其完全移除，在7月1日之后，标头将不再出现在请求和响应中
如果您需要请求的标识符，建议使用CF-RAY标头

关于 __cfduid
#Cloudflare #弃用 #Header #Cookie
Via @Cloudflare_CN 打开/如何

2021-02-03 14:05:03 Cloudflare 旧版自助托管合作伙伴部分API功能服务不可用

事件
北京时间2月3日早上10点前后，接多位网友反馈后确认基于旧版 Cloudflare Partner Host API 工作的登录/注册、添加域名接入等功能、服务不可用

处理
17:23，收到反馈开始排查
17:55，已定位问题尝试修复
20:45，收到反馈确认已恢复正常可用
20:55，已实施全面修复
21:08，确认事件已解决

状态追踪
Legacy Hosting Partner API service issues

#Cloudflare #API #异常 #不可用
Via @Cloudflare_CN 打开/如何

2020-12-17 17:39:42 Cloudflare Pages 发布Beta试用

-支持发布时分支预览
-支持与 GitHub 集成自动部署
-支持配置 Node.js/npm 进行编译部署
-支持 Gatsby, Hugo, Jekyll, React & Vue 等应用实例
-提供免费公共二级域名 *.pages.dev （可自绑定独立域名）
-提供 Firebase、Vercel、Netlify 以及 Worker Sites 迁移方案

免费（Free）版
每月500次构建发布
单一构建工作流
0$/月

专业（Pro）版
每月5000次构建发布
5个并发构建
20$/月

商业（Business）版
每月20000次构建发布
20个并发构建
200$/月

所有版本全体都有！
无限站点数
无限请求数
无限带宽流量
无限次部署预览
无限团队协作成员数
支持CNAME域名绑定
（域名可无需NS接入Cloudflare）

使用限制
单个文件大小 ≤25MB
单个站点文件总数 ≤20000个

Cloudflare Pages
主页入口 | 申请提前试用 | 使用说明文档

Introducing Cloudflare Pages: the best way to build JAMstack websites
#发布
Via @Cloudflare_CN 打开/如何

2020-12-15 17:45:10 国内 Cloudflare DNS 解析异常

事发
北京时间20:30分前后，陆续有多人反馈网站在国内无法正常访问

细节
来自国内的域名解析被指向至 百度云加速 或 京东智联云 IP；相关报错提示：DNS解析错误、SSL证书错误、409 错误，服务不可用

示意
访客（国内）<-Cloudflare DNS错误域名解析->百度云加速/京东智联云IP<-服务不可用->源站
访客（海外）<-Cloudflare DNS正确域名解析->Cloudflare CDN接入IP<-正常回源->源站

影响
国内访问所有使用Cloudflare DNS服务的网站，因其域名解析未能正确指向Cloudflare CDN接入IP，导致服务中断
*所有NS接入在国内进行域名解析都受影响
*海外访客域名解析与服务一切正常
*部分启用了Cloudflare中国区网络的企业客户不受影响
*域名通过宿云或商业版用户以CNAME方式接入使用Cloudflare，并由第三方DNS直接管理域名解析的不受影响
（使用A/AAAA记录解析接入IP，俗称：自定义接入IP、自选IP）

进度
21:37 Cloudflare官方已知
21:49 定位问题，尝试修复
22:11 实施了修复，注意：域名解析默认缓存300s（五分钟）
22:12 部分网友反馈：服务已恢复正常；应该是域名解析没缓存或刚好缓存失效重新刷新解析恢复正常；未恢复正常的等缓存过期或本地尝试手动刷新
22:40 故障标记更新：已解决

Customer Impacting Issue
#故障 #事件
Via @Cloudflare_CN 打开/如何

2020-12-12 02:17:15 Cloudflare 防火墙日志将支持混合公钥加密（HPKE）

一般情况下，对于触发Web应用程序防火墙（WAF）的请求，用户可以通过查看防火墙日志（安全事件）中的URL、查询参数结合面板上提供的相关元数据信息来快速判断这些请求是否正常或者误判

但有时候，考虑不周全的复杂WAF规则可能与默认情况下非预期的数据字段匹配，这在排查WAF事件或进行更全面的研究、测试时，需要系统记录足够完备的请求信息来进行比对校验，以帮助用户微调改进其规则，很明显直接记录命中规则匹配的部分字段将会涉及个人敏感数据，为用户带来隐私安全泄露风险

为此Cloudflare构建了加密的WAF匹配负载日志记录机制
在请求命中WAF规则时记录规则匹配的数据字段并使用客户预置的公钥进行加密（Base64 blob形式存储）
在客户拉取安全事件日志时，使用私钥本地离线解密（客户端/浏览器）查看加密的规则匹配数据
该加密使用新标准名为：混合公钥加密（HPKE: Hybrid Public Key Encryption）（部分由Cloudflare开发）
*Cloudflare不负责此私钥存储，在客户丢失自己保管的私钥时，之前所有数据将无法解密查看、恢复，客户仅能通过更新应用新的密钥对来为后续数据记录预设加密所需公钥
*目前仅企业客户预约可用（面板在数月内更新上线），只有应用程序（对应域名）所有者（站长）以超级管理员身份访问Cloudflare面板时才可以进行密钥对配置（协助方/次级管理员不可用）；那些未持有私钥的所有人，包括Cloudflare员工，都无法解密查看此日志记录
*Cloudflare开源相关命令行应用程序（Rust开发）：生成公私密钥对、数据解密

Encrypting your WAF Payloads with Hybrid Public Key Encryption (HPKE)
Via @Cloudflare_CN 打开/如何

2020-12-09 16:24:49 Cloudflare正式宣布弃用 __cfduid Cookie

时间线
从2021年5月10日开始，将停止在所有HTTP请求响应上添加 Set-Cookie 响应头
*客户自身应用程序/业务逻辑除外
最后的 __cfduid Cookie将在此之后30天过期

cfduid 值的构成
基于用户首次不带 cfduid Cookie 访问时的：主机名、IP地址、日期/时间、用户代理（UA）以及 请求引用来路（Referer）进行MD5单向取值
*无法简单通过 cfduid 反向标注识别特定的人

为什么之前使用此Cookie？
Cookie的主要用途是辅助检测网络上的各种自动化机器人（Bots），Cloudflare的自动化机器学习模式使用许多信号来构建识别机器人。检查请求中是否包含 cfduid Cookie 是模型中的一个信号指标

现在为何又弃用？
作为一家以隐私安全为第一优先级的公司，会想要尝试看是否可以找到一种更好的方法：不依赖于收集访客IP地址来检测是否机器人？是否有可能摆脱使用Cookie来检测机器人？现在找到了解决方案所以通知客户弃用，以便让客户有时间进行过渡，Cloudflare Bot Management管理团队将努力确保删除此Cookie后，机器人检测识别算法的质量不会下降
*一部分Bot Management客户在4月1日之后，在一些应用场景中将仍然使用一些Cookie （_cf_bm、_cflb、cf_ob_info等）

Deprecating the __cfduid cookie
Via @Cloudflare_CN 打开/如何

2020-12-09 01:08:10 #预告 Cloudflare Pages

-支持发布时分支预览
-支持与 GitHub 集成自动部署
-支持配置 Node.js 进行编译部署
-支持 Gatsby, Hugo, Jekyll, React & Vue 等应用实例
-提供免费公共二级域名 *.pages.dev （可自绑定独立域名）
-提供 Firebase、Vercel、Netlify 以及 Worker Sites 迁移方案

免费额度
每月500次编译构建（Builds）

Via @Cloudflare_CN 打开/如何