接入CDN/WAF后出现循环重定向问题的排查记录

一、问题描述

客户反馈一个CDN加速域名解析切换到CDN的CNAME之后，访问出现301循环重定向的现象。

与客户确认目前的业务架构如下：

测试直接访问WAF（阿里云CDN源站），响应301 Redirect；

测试直接访问AWS CloudFront（阿里云WAF源站），可以正常访问到网站内容。

二、分析验证

经过CDN/WAF后得到的结果与直接访问源站的结果不一致的情况，一般来说是由于CDN/WAF回源时的请求与直接访问源站时的请求有区别，导致了源站做出了不同的响应结果。

对于301循环重定向的情况，最常见的一种情况就是http-->https的跳转。问题可以稳定复现，所以很容易测试和定位。

通过http直接访问AWS CloudFront，可以看到AWS响应了301 Redirect，重定向到https。

进一步核实，WAF上配置了“Enable HTTP back-to-source”的开关，强制WAF使用http协议回源。

循环重定向的访问路径：

客户浏览器 https --> 阿里云CDN https--> 阿里云WAF http --> AWS CloudFront CDN 301 --> 客户浏览器 https

四、解决方案

1、首先，联系客户在WAF控制台上关闭“Enable HTTP back-to-source”的开关，使WAF回源时使用https协议。

2、此外，注意到客户在CDN上开启了“Use the same protocol as the back-to-source protocol”的开关，这时，如果用户通过http协议访问CDN，CDN使用http协议回源，所以建议客户同时在CDN控制台上关闭“Use the same protocol as the back-to-source protocol”的开关，强制CDN使用https协议回源WAF。

最后，为了清空CDN上301状态的缓存，请客户在CDN控制台上进行手工刷新操作。

客户反馈操作完成后，测试业务恢复正常。

五、新的问题

问题解决几分钟后，客户反馈部分的PC、手机*问网站还是会出现301循环重定向的情况。有的人，同一台电脑上的不同浏览器，有些正常，有些不正常。尝试清理浏览器的缓存后问题依旧。

六、分析测试

通过在有问题的客户端上分析http响应头，发现一些CDN节点上还有301状态的缓存。难道是刷新没有完全成功？

进一步查看CDN节点的缓存时间，是在客户操作之后才缓存的。

通过检查客户CDN配置，发现客户没有关闭“Use the same protocol as the back-to-source protocol”的开关。

而另一方面，当有https的请求发到AWS上时，AWS响应的200 OK的响应头中有no-cache的header。

当有http的请求发到AWS上时，AWS响应的301 Redirect的响应头中没有no-cache的header。

所以无论有多少人正常的通过https协议成功网站，CDN都不会缓存。而一旦有人不小心用http协议访问了这个网址后，CDN就会缓存住301的状态，导致后续的访问者（无论是http还是https）都会出现301循环重定向的错误。

此外，对于301的状态，一些浏览器（FireFox、移动端的Safari等）会一直进行缓存，所以还需要手工清理浏览器的本地缓存。

七、彻底解决

1、联系客户关闭“Use the same protocol as the back-to-source protocol”的开关。

2、与客户确认业务不需要http协议的访问，在阿里云CDN上配置http --> https的跳转。

3、操作后，手工刷新CDN缓存，测试全部恢复正常。

八、附录：CDN/WAF访问协议处理流程