Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

自定义源的请求和响应行为

要了解在使用自定义源时 CloudFront 如何处理请求和响应，请参阅以下部分：

CloudFront 如何处理请求及如何将请求转发给您的自定义源

了解 CloudFront 如何处理查看器请求以及如何将请求转发到您的自定义源。

身份验证

如果您将 Authorization 标头转发给源，则可将源服务器配置为针对以下类型的请求而请求进行客户端身份验证：

对于 OPTIONS 请求，仅 在您使用以下 CloudFront 设置时才可以配置客户端身份验证：

有关更多信息，请参阅 配置 CloudFront 以转发 Authorization 标头。

您可以使用 HTTP 或 HTTPS 将请求转发到源服务器。有关更多信息，请参阅 将 HTTPS 与 CloudFront 结合使用。

缓存持续时间和最小 TTL

要控制对象在 CloudFront 缓存中保留多长时间后 CloudFront 便会将另一请求转发到您的源，您可以：

有关更多信息，请参阅 管理内容保留在缓存中的时间长度（过期）。

客户端 IP 地址

如果查看器将请求发送到 CloudFront 且不包含 X-Forwarded-For 请求标头，则 CloudFront 将从 TCP 连接获取查看器的 IP 地址，添加包含该 IP 地址的 X-Forwarded-For 标头，并将请求转发到源。例如，如果 CloudFront 从 TCP 连接获取的 IP 地址为 192.0.2.2，则它会将以下标头转发到源：

X-Forwarded-For: 192.0.2.2

如果查看器将请求发送到 CloudFront 且包含 X-Forwarded-For 请求标头，则 CloudFront 将从 TCP 连接获取查看器的 IP 地址，将该 IP 地址附加到 X-Forwarded-For 标头的末尾，并将请求转发到源。例如，如果查看器请求包含 X-Forwarded-For: 192.0.2.4,192.0.2.3，并且 CloudFront 从 TCP 连接获取的 IP 地址为 192.0.2.2，则它会将以下标头转发到源：

X-Forwarded-For: 192.0.2.4,192.0.2.3,192.0.2.2

一些应用程序（例如，负载均衡器（包括 Elastic Load Balancing）、Web 应用程序防火墙、反向代理、入侵防御系统以及 API Gateway）会将转发请求的 CloudFront 边缘服务器的 IP 地址附加到 X-Forwarded-For 标头的末尾。例如，如果 CloudFront 将 X-Forwarded-For: 192.0.2.2 包含在它转发给 ELB 的请求中，并且 CloudFront 边缘服务器的 IP 地址为 192.0.2.199，则 EC2 实例收到的请求将包含以下标头：

X-Forwarded-For: 192.0.2.2,192.0.2.199

客户端 SSL 身份验证

CloudFront 不支持使用客户端 SSL 证书进行客户端身份验证。如果源要求客户端证书，则 CloudFront 将删除请求。

压缩

有关更多信息，请参阅 提供压缩文件。

有条件请求

当 CloudFront 从边缘缓存接收已过期对象的请求时，其将请求转发到源，以获取对象的最新版本或获取 CloudFront 边缘缓存已具有最新版本的源的确认。通常，当源最后发送对象到 CloudFront 时，其在响应中包括 ETag 值、LastModified 值或以上两种值。在 CloudFront 转发到源的新请求中，CloudFront 将添加以下一项或两项内容：

源使用此信息来确定对象是否已更新，以及是否将整个对象返回到 CloudFront 或只返回 HTTP 304 状态码（未修改）。

Cookies

您可配置 CloudFront 以将 cookie 转发到您的源。有关更多信息，请参阅 根据 Cookie 缓存内容。

跨源资源共享 (CORS)

如果您希望 CloudFront 采用跨源资源共享设置，请配置 CloudFront 以将 Origin 标头转发到源。有关更多信息，请参阅 根据请求标头缓存内容。

加密

您可以要求查看器使用 HTTPS 将请求发送到 CloudFront，并要求 CloudFront 使用由查看器使用的协议将请求转发到您的自定义源。有关更多信息，请参阅以下分配设置：

CloudFront 使用 SSLv3、TLSv1.0、TLSv1.1 和 TLSv1.2 协议将 HTTPS 请求转发给源服务器。对于自定义源，您可以选择您希望 CloudFront 在与源通信时使用的 SSL 协议：

如果源是 Amazon S3 存储桶，则 CloudFront 总是使用 TLSv1.2。

有关将 HTTPS 与 CloudFront 搭配使用的更多信息，请参阅将 HTTPS 与 CloudFront 结合使用。有关 CloudFront 支持的用于查看器和 CloudFront 之间以及 CloudFront 和您的源之间的 HTTPS 通信的密码的列表，请参阅查看器和 CloudFront 之间支持的协议和密码。

包含正文的 GET 请求

如果查看器 GET 请求包含正文，则 CloudFront 将 HTTP 状态代码 403（禁止）返回给查看器。

HTTP 方法

如果您将 CloudFront 配置为处理其支持的所有 HTTP 方法，则 CloudFront 会接受来自查看器的以下请求，并将这些请求转发给您的自定义源：

CloudFront 始终缓存对 GET 和 HEAD 请求的响应。您也可以将 CloudFront 配置为缓存对 OPTIONS 请求的响应。CloudFront 不缓存对使用其他方法的请求的响应。

有关如何配置是否让自定义源处理这些方法的信息，请参阅该源的文档。

HTTP 请求标头和 CloudFront 行为（自定义源和 Amazon S3 源）

下表列出了 HTTP 请求标头，您可以将其转发到自定义源和 Amazon S3 源（有例外情况需要注意）。对于每个标头，该表包含有关以下内容的信息：

有关基于标头值的缓存操作的更多信息，请参阅根据请求标头缓存内容。

HTTP 版本

CloudFront 使用 HTTP/1.1 将请求转发给您的自定义源。

请求的最大长度与 URL 的最大长度

请求的最大长度，包括路径、查询字符串（如果有）以及标头，是 20480 个字节。

CloudFront 根据请求来构造 URL。此 URL 的最大长度是 8192 个字节。

如果请求或 URL 超出这些最大值，则 CloudFront 将 HTTP 状态代码 413（请求实体过大）返回到查看器，然后终止与查看器的 TCP 连接。

OCSP Stapling

当查看器提交对象的 HTTPS 请求时，CloudFront 或查看器必须与证书颁发机构 (CA) 确认尚未吊销域的 SSL 证书。OCSP Stapling 允许 CloudFront 验证证书并缓存来自 CA 的响应，这将使客户端无需直接向 CA 验证证书，从而加快证书验证速度。

当 CloudFront 收到对同一域中对象的大量 HTTPS 请求时，OCSP Stapling 的性能改进会更明显。CloudFront 边缘站点中的每台服务器必须提交一个单独的验证请求。当 CloudFront 收到同一域的大量 HTTPS 请求时，边缘站点中的每台服务器很快将收到来自 CA 的响应，表示它可“固定”到 SSL 握手中的数据包；当查看器对证书有效感到满意时，CloudFront 可提供请求的对象。如果您的分配未在 CloudFront 边缘站点中产生大量流量，则新请求更有可能定向到尚未向 CA 验证证书的服务器。在这种情况下，查看器将单独执行验证步骤，并且 CloudFront 服务器将提供对象。该 CloudFront 服务器还会向 CA 提交验证请求，因此，在它下次收到包含同一域名的请求时，便已获得来自 CA 的验证响应。

持久性连接

当 CloudFront 收到来自您的源的响应时，它会尝试将连接保持几秒钟，以防在此时段内有另一个请求到达。保持持久性连接可节省重新建立 TCP 连接以及针对后续请求再次进行 TLS 握手所需的时间。

有关更多信息 (包括如何配置持久性连接)，请参阅源保持连接超时（仅自定义源）一节中的分配设置参考。

协议

CloudFront 基于以下将 HTTP 或 HTTPS 请求转发到源服务器：

如果您指定仅 HTTP 或仅 HTTPS，则 CloudFront 仅使用指定的协议将请求转发到源服务器，而不考虑查看器请求中的协议。

如果您指定匹配查看器，则 CloudFront 将使用查看器请求中的协议将请求转发到源服务器。请注意，CloudFront 仅缓存对象一次，即使查看器使用 HTTP 和 HTTPS 协议发出请求。

有关使用 CloudFront 控制台如何更新分配的信息，请参阅更新分配。有关如何使用 CloudFront API 更新分配的信息，请转到《Amazon CloudFront API 参考》中的 UpdateDistribution。

查询字符串

您可配置 CloudFront 是否将查询字符串参数转发到您的源。有关更多信息，请参阅 根据查询字符串参数缓存内容。

源连接超时和尝试次数

源连接超时 是 CloudFront 在尝试建立与源的连接时等待的秒数。

源连接尝试 是 CloudFront 尝试连接到源的次数。

这些设置共同决定了在故障转移到辅助源（对于源组）或向查看器返回错误响应之前，CloudFront 尝试连接源的时间。默认情况下，CloudFront 在尝试连接到辅助源或返回错误响应之前等待长达 30 秒（3 次尝试，每次 10 秒）。您可以通过指定更短的连接超时和/或更少的尝试次数来减少此时间。

有关更多信息，请参阅 控制源超时和尝试次数。

源响应超时

源响应超时（也称为源读取超时 或源请求超时）同时适用于以下两种情况：

CloudFront 行为取决于查看器请求的 HTTP 方法：

有关更多信息（包括如何配置源响应超时），请参阅响应超时（仅自定义源）。

针对同一对象的并发请求（请求折叠）

如果 CloudFront 边缘站点收到对于某个对象的请求，而该对象不在缓存中或缓存的对象已过期，则 CloudFront 会立即将请求发送到源。但是，如果存在针对同一对象的并发请求，也就是说，如果在 CloudFront 收到对第一个请求的响应之前，对同一个对象（具有相同缓存密钥）的其他请求到达边缘站点，则 CloudFront 会在将其他请求转发到源之前暂停。这一短暂的暂停有助于减少源上的负载。CloudFront 会将来自原始请求的响应发送到它在暂停期间收到的所有请求。这称为请求折叠。在 CloudFront 日志中，第一个请求在 x-edge-result-type 字段中标识为 Miss，而折叠的请求标识为 Hit。有关 CloudFront 日志的更多信息，请参阅CloudFront 和边缘函数日志记录。

CloudFront 只折叠共享缓存键 的请求。如果其他请求不共享相同的缓存键（例如，因为您将 CloudFront 配置为基于请求标头、Cookie 或查询字符串进行缓存），则 CloudFront 会将所有带唯一缓存键的请求转发到您的源。

如果您希望阻止所有请求折叠，则可使用托管式缓存策略 CachingDisabled，该策略还可阻止缓存。有关更多信息，请参阅 使用托管式缓存策略。

如果要阻止特定对象的请求折叠，您可以将缓存行为的最小 TTL 设置为 0，并配置源以发送 Cache-Control: private、Cache-Control: no-store、Cache-Control: no-cache、Cache-Control: max-age=0 或 Cache-Control: s-maxage=0。这些配置将会增加源上的负载，并为 CloudFront 等待对第一个请求的响应时暂停的并发请求带来额外的延迟。

User-Agent 标头

如果您希望 CloudFront 基于用户用来查看内容的设备缓存不同版本的对象，建议您将 CloudFront 配置为将一个或多个以下标头转发给您的自定义源：

根据 User-Agent 标头的值，在将请求转发给您的源之前，CloudFront 将这些标头的值设置为 true 或 false。如果某个设备归入多个类别中，则多个值可能为 true。例如，对于一些平板电脑设备，CloudFront 可能将 CloudFront-Is-Mobile-Viewer 和 CloudFront-Is-Tablet-Viewer 设置为 true。有关将 CloudFront 配置为基于请求标头进行缓存的更多信息，请参阅根据请求标头缓存内容。

您可以将 CloudFront 配置为基于 User-Agent 标头中的值缓存对象，但建议您不要这样做。User-Agent 标头具有许多可能的值，并且根据这些值的缓存操作导致 CloudFront 将更多请求转发到源。

如果未将 CloudFront 配置为根据 User-Agent 标头中的值缓存对象，在将请求转发到源之前，CloudFront 将添加具有以下值的 User-Agent 标头：

User-Agent = Amazon CloudFront

无论来自查看器的请求是否包含 User-Agent 标头，CloudFront 都会添加此标头。如果来自查看器的请求包含 User-Agent 标头，则 CloudFront 会删除它。

CloudFront 如何处理自定义源的响应

了解 CloudFront 如何处理自定义源的响应。

100 Continue 响应

您的源服务器不能向 CloudFront 发送多个 100-Continue 响应。在第一个 100-Continue 响应之后，CloudFront 需要“HTTP 200 正常”响应。如果您的源服务器在第一个 100-Continue 响应之后又发送了该响应，CloudFront 将返回错误。

缓存

已取消的请求

如果对象不在边缘缓存中，或者在 CloudFront 从您的源获取对象后，还未来得及传送请求的对象，查看器便终止了会话（例如关闭浏览器），则 CloudFront 不会将该对象缓存到边缘站点中。

内容协商

如果您的源在响应中返回 Vary:*，并且相应缓存行为的最短 TTL 的值为 0，则 CloudFront 将缓存对象，但仍会将对象的每个后续请求转发到源以确认缓存包含最新版本的对象。CloudFront 不包含任何条件标头，例如 If-None-Match 或 If-Modified-Since。因此，您的源会将对象返回给 CloudFront 以响应每个请求。

如果您的源在响应中返回 Vary:*，并且相应缓存行为的最短 TTL 的值为任何其他值，则 CloudFront 将处理 Vary 标头，如CloudFront 移除或替换的 HTTP 响应标头中所述。

Cookie

如果您为缓存行为启用了 cookie，并且如果源返回带对象的 cookie，CloudFront 则缓存对象和 cookie。请注意，这降低了对象的缓存能力。有关更多信息，请参阅 根据 Cookie 缓存内容。

中断的 TCP 连接

如果在您的源将对象返回给 CloudFront 时，CloudFront 和您的源之间的 TCP 连接中断，CloudFront 行为将取决于您的源是否在响应中包括 Content-Length 标头：

建议您配置您的 HTTP 服务器，以添加 Content-Length 标头，防止 CloudFront 缓存部分对象。

CloudFront 移除或替换的 HTTP 响应标头

在将来自您的源的响应转发给查看器之前，CloudFront 将删除或更新以下标头字段：

最大可缓存文件大小

CloudFront 在其缓存中保存的响应正文的最大大小为 50 GB。这包括未指定 Content-Length 标头值的分块传输响应。

您可以使用范围请求将对象分为每个为 50 GB 或以下的段进行请求，从而使用 CloudFront 缓存大于此大小的对象。CloudFront 将会缓存这些段，因为每个段的大小都为 50 GB 或以下。查看器检索完对象的所有段后，可以重建更大的原始对象。有关更多信息，请参阅 使用范围请求缓存大型对象。

源不可用

如果您的源服务器不可用且 CloudFront 收到针对边缘缓存中已过期对象的请求（例如，因为 Cache-Control max-age 指令中指定的期限已过），那么 CloudFront 会提供该对象的已过期版本或提供自定义错误页面。有关配置自定义错误页面时 CloudFront 行为的更多信息，请参阅当您已配置自定义错误页面时 CloudFront​ 如何处理错误。

某些情况下，将逐出很少被请求的对象且不再在边缘缓存中提供。CloudFront 不能提供已被逐出的对象。

重新导向

如果更改对象在源服务器上的位置，您可以配置 Web 服务器以重定向请求到新位置。在您配置重定向后，查看器第一次提交对象请求时，CloudFront 将请求发送到源，源则响应重定向（例如 302 Moved Temporarily）。CloudFront 缓存重定向并将其返回给查看器。CloudFront 不遵照重定向。

您可以配置 Web 服务器以将请求重定向到以下位置之一：

Transfer-Encoding 标头

CloudFront 仅支持 chunked 标头的 Transfer-Encoding 值。如果您的源返回 Transfer-Encoding: chunked，则 CloudFront 会在边缘站点收到对象后将该对象返回给客户端，然后以分块格式将该对象缓存起来以提供给后续请求。

如果查看器发出 Range GET 请求，并且源返回 Transfer-Encoding: chunked，则 CloudFront 会将整个对象返回给查看器而不是请求的范围。

如果无法预先确定响应的内容长度，建议您使用分块编码。有关更多信息，请参阅 中断的 TCP 连接。