限制

• 如果响应中包含多个同名的标头，则重写其中某个标头的值会导致删除该响应中的其他标头。 这种情况往往出现于 Set-Cookie 标头，因为在一个响应中可以包含多个 Set-Cookie 标头。 例如，如果将应用服务与应用程序网关一起使用，并在应用程序网关上配置了基于 Cookie 的会话关联，则就会出现此类情况。 在这种情况下，响应将包含两个 Set-Cookie 标头：一个用于应用服务（例如

  Set-Cookie: ARRAffinity=ba127f1caf6ac822b2347cc18bba0364d699ca1ad44d20e0ec01ea80cda2a735;Path=/;HttpOnly;Domain=sitename.chinacloudsites.cn

  ），另一个用于应用程序网关关联（例如

  Set-Cookie: ApplicationGatewayAffinity=c1a2bd51lfd396387f96bl9cc3d2c516; Path=/

  ）。 在此情况下重写其中一个 Set-Cookie 标头可能会导致从响应中删除另一个 Set-Cookie 标头。

• 当应用程序网关配置为重定向请求或显示自定义错误页时，不支持重写。
• 标头名称可以包含任何字母数字字符和RFC 7230中定义的特定符号。 目前不支持在标头名称中使用特殊字符下划线 (_)。
• 无法重写 Connection 和 Upgrade 标头

什么是 SameSite？

SameSite

是一个属性，可在 HTTP Cookie 中设置该属性，以防止 Web 应用程序遭受跨站点请求伪造 (CSRF) 攻击：

• 当

  SameSite

  设置为

  SameSite

  时，cookie 将在同一站点中的请求和来自其他站点的 GET 请求中发送。 不会在跨域的 GET 请求中发送 Cookie。

• 使用Strict值可确保仅在同一站点内的请求中发送 Cookie。

默认情况下，不会在浏览器中设置

SameSite

值，正因如此，在请求中发送的 Cookie 没有限制。 应用程序需要根据要求设置Lax或Strict来启用 CSRF 保护。