在已配置了应用网关的应用中，支持配置免认证访问、跨域访问、站点改写、网关请求改写等高级策略。本文主要介绍各策略提供的能力。

1. 登录管理后台。
2. 在左侧导航栏，选择零信任接入 > 应用管理。
3. 在 Web 应用页签内，选择需要配置高级策略的应用，进入应用详情页。
4. 在应用网关页签的高级策略区域，根据实际的安全要求，开启并配置相应策略。
   
   各策略配置说明，请参见下文高级策略配置说明。

免认证访问 #

开启免认证访问后，应用网关所代理的应用或者 API 无需身份认证即可直接访问目标资源。例如在以下场景中可以使用免认证访问：

• 某些特殊请求，数据量较大，不适合通过应用网关处理。
• 请求内容已经缓存在后端服务器，不适合通过应用网关转发。
• 某些应用使用特定的端口、协议，无法通过应用网关进行处理。

操作步骤

1. 开启免认证访问。
   
2. 单击配置，配置免认证访问级别为应用级别或 API 级别，默认为应用级别。

   • 应用级别：开启免认证访问后，应用内所有域名将通过应用网关代理转发直接访问，不进行身份认证。

   • API 级别：针对应用中的某些 API 开启免认证访问。 API 级别免认证的参数说明如下表所示。

     配置项	说明
     API 资源	指定当前应用中的哪些 API 需要进行免认证访问。
     源 IP 地址	配置可以免认证访问的源 IP 地址。填写单个 IP 地址或者 IP 网段。 使用场景：例如，企业内部的某个关键业务系统是基于源 IP 地址进行访问控制，只允许来自特定办公地点的 IP 访问其 API。但在特殊情况下，如远程紧急维护，可能需要绕过这个限制。通过配置特定的源 IP 地址，可以让维护人员免认证访问对应的 API。
     请求头	根据该 API 对应的合法请求头格式添加请求头，以便通过该请求头进行免认证访问。您可以配置多个请求头，多个请求头之间为且的关系。示例：Host:www.example.com。 使用场景：例如，某些 API 要求请求头中必须包含特定的令牌或密钥才能访问，在开发测试阶段，您可以在免认证请求头中添加特定的请求头，实现免认证访问对应的 API，以便更高效地进行测试。

跨域访问 #

跨域访问是指跨域名访问，一般应用跨域访问的原因为：访问的域名不同、访问的域名相同但端口不同、访问的子级域名不同。例如以下跨域访问场景：

• Web 应用程序需要访问不同源的 API 服务。例如从一个域名访问另一个域名下的 API 服务。
• Web 页面需要加载来自不同源的资源。例如源域名下加载另一个域名下的 CSS、JavaScript 等资源。
• Web 应用程序需要与第三方服务交互。例如社交媒体平台、支付网关、地图服务等交互。

浏览器为保护安全请求访问应用，防止跨站点攻击，只允许当前页同域名的路径访问。因此，您可以开启跨域访问策略并配置跨域访问策略的详细参数，实现应用的跨域访问。

1. 开启跨域访问策略。
   

2. 单击配置，配置跨域访问策略参数。
   配置说明：

   参数	说明
   请求域	请求域是指发起跨域请求的源网站，需要在配置中添加允许访问的请求域。可以使用通配符（*）表示允许所有请求域访问，也可以指定具体的请求域名。
   请求方式	请求方法是指跨域请求使用的 HTTP 方法，需要在配置中添加允许访问的请求方法，如 GET、POST 等。
   强制请求头	强制请求头是指需要在跨域请求中添加的 HTTP 头部信息，需要在配置中添加需要强制请求头的名称。支持单击继续添加，添加多个强制请求头。
   路径	路径是指跨域请求的访问路径，需要在配置中添加转发规则，指定跨域请求的路径和目标服务器的地址。支持单击继续添加，添加多个路径。

   在表单顶部，可单击添加，添加多个跨域配置。除了第一个跨域配置，其他新增的跨域配置均支持删除。

3. 单击确定，生效策略配置。

站点改写 #

该策略用于应用嵌套多个内网资源时，替换嵌套的资源地址。

1. 开启站点改写策略。
   
2. 单击配置，配置站点改写策略。
   在配置站点改写策略时，需要指定域名改写前地址，即前端请求的地址，该地址可以为域名。支持单击继续添加，设置多个改写前地址。在配置改写前地址时，需要确保地址的正确性和安全性。
3. 单击确定，生效策略配置。

网关请求改写 #

该策略可用于自定义请求 URL 中携带的参数，包括请求头参数和查询参数，支持配置多个不同的改写操作，可用于打通网关服务器到业务站点的访问。

1. 开启网关请求改写策略

2. 单击配置，按照界面提示信息配置网关请求改写策略参数。

   区域	字段	说明
   Headers 改写	头信息类型	可选请求头或响应头。
   	改写操作	支持选择更新、正则替换、新增或删除。
   	参数名称	指定参数名称。
   	正则表达式	如果您选择了正则替换为改写操作，则您需要指定匹配的正则表达式。
   	参数值	指定参数值。单击 Headers 改写区域下方的继续添加按钮，添加多个参数。
   Query 参数改写	改写操作	支持选择更新、正则替换、新增或删除。
   	参数名称	指定查询参数名称。
   	正则表达式	如果您选择了正则替换为改写操作，则您需要指定匹配的正则表达式。
   	参数值	指定查询参数值。单击 Query 参数改写区域下方的继续添加按钮，添加多个查询参数。

3. 单击确定，生效策略配置。

流量劫持 #

该策略开启后，VPN 的 DNS 服务器将自动拦截用户访问第三方应用的请求，并将其重定向至对应的应用网关。该策略允许用户通过应用网关代理的方式访问应用。默认情况下，该策略将自动开启。

自定义脚本配置 #

此策略为管理员提供了极高的灵活性。您可以通过注入自定义脚本（如JavaScript），对现有站点的功能进行扩展或修改，例如自定义前端样式、增强用户交互或集成第三方分析工具，而无需改动后端应用的源代码。

1. 开启 自定义脚本配置 开关。
   
2. 单击配置，将您编写好的脚本代码粘贴到配置框中。

仅允许在飞书访问应用 #

这是一项增强的安全策略，用于将应用与飞书生态深度绑定。开启后，飞连应用网关会验证访问请求是否来自飞书客户端（PC 或移动端）。如果请求来自外部浏览器，将被拒绝。

1. 前提条件：配置飞书认证源
   在开启此策略前，您必须已在飞连的身份认证模块中，成功配置并启用了“飞书认证源”。
2. 在高级策略配置页面，开启 仅允许在飞书访问应用 开关。
   弹出的对话框会为您生成一个专属的重定向 URL。此 URL 是飞连应用与飞书应用之间进行安全认证握手的桥梁。
   
   1. 单击复制按钮，复制提供的完整URL地址。
   2. 登录您的飞书开放平台后台。
   3. 找到您为此次集成所创建的相应飞书应用，并进入其应用详情页。
   4. 进入“安全设置”页面，将复制的地址粘贴至“重定向 URL”配置区域输入框，并保存设置。
3. 完成并开启策略
   在飞书开放平台完成重定向 URL 的配置后，返回飞连管理后台的弹窗，单击 开启 按钮开启策略。

健康检查 #

此策略用于保障后端服务的高可用性。应用网关会按照您配置的规则（如频率、路径、期望的响应码），定期向后端服务器发送探测请求。如果某台服务器连续多次探测失败，网关会自动将其从负载均衡池中移除，不再向其转发流量，直到它恢复正常。这可以有效避免因单点故障导致的应用不可用。

1. 开启健康检查开关。
   

2. 单击配置，设置检查规则后点击确定使其生效。

   配置项	说明
   健康检测端口	定义健康检查请求发送到后端服务器的哪个端口。 使用后端服务器默认业务端口：默认选项，健康检查将直接发送到您在“后端服务器组”中配置的业务端口上。 指定特定端口：如果您的应用有专门的健康检查端口（与业务端口分离），请选择此项并填写端口号。
   健康检测路径	指定健康检查的 URL 地址的路径。必须以/开头，长度限制为1-80个字符。支持使用英文字母、数字和特殊字符。
   检测间隔 (秒)	应用网关每隔多少秒对每台后端服务器发起一次健康检查。取值范围 1-50 秒。
   超时时间 (秒)	一次健康检查请求从发出到收到响应的最长等待时间。如果超过此时间仍未收到响应，则认为本次检查失败。取值范围 1-50 秒。
   健康检查返回码	您期望后端健康检查接口在“健康”状态下返回的 HTTP 状态码。只有当返回码匹配此配置时，才认为检查成功。 通常，200 表示服务正常。您也可以配置为 2XX (代表所有2开头的成功状态码) 或 2XX-5XX 的范围。

获取客户端 IP #

应用网关内置核心特性，确保后端应用能够接收到访问者的真实来源 IP 地址。该策略默认开启且不可关闭。

可信代理配置 #

在复杂的网络环境中，流量可能经过多层代理（如 CDN、前置 WAF等）才到达飞连应用网关。此策略允许您定义一个“可信代理”的 IP 列表。当请求来自这些可信 IP 时，网关会智能地解析 X-Forwarded-For 头中更上游的 IP 作为真实客户端 IP，而不是将代理本身的 IP 误判为客户端 IP，确保在多层代理架构下，依然能准确获取到最初的访客来源。

1. 开启可信代理配置开关。
   
2. 单击配置，将在飞连应用网关之前的其他代理服务器的 IP 地址添加到 IP 列表中。多个 IP 或 IP 段，请使用逗号或空格进行分隔。

高级配置 #

为满足不同业务系统对访问性能、安全校验及协议兼容性的差异化需求，可在接入应用中自定义网关的高级参数。

1. 点击高级配置卡片右侧的配置。
   

2. 在弹窗中按需进行以下配置：

   配置项	说明	配置示例
   1. Location 重定向重写	用于修正后端业务系统返回的 HTTP 301 或 302 重定向地址。 当后端返回包含内网 IP（如 http://192.168.x.x/home)的 Location 头时，网关会根据此处的配置，将匹配到的内网地址替换为公网地址，防止用户跳转失败。 操作指引： 每组规则包含左右两个输入框。 左侧输入框（键/Key）：填写后端应用返回的、需要被替换的内网地址前缀。 右侧输入框（值/Value）：填写对应的、可供员工在公网环境下正常访问的完整地址前缀。 点击 + 继续添加可创建多组替换规则。	假设财务系统内网地址为 http://10.0.0.5，通过飞连网关映射后的公网地址为 https://finance.corp.com： 键 (Key)：http://10.0.0.5 值 (Value)：https://finance.corp.com 生效效果：当后端尝试将用户重定向至 http://10.0.0.5/login 时，网关会自动将其重写为 https://finance.corp.com/login。
   2. Cookie 域名自定义映射	用于手动指定 Cookie 的域名重写规则。网关在处理后端返回的 Set-Cookie 响应头时，会强制将指定的后端域名属性修改为对应的公网访问域名，确保浏览器能够正确存储并携带 Cookie。 解决的业务痛点： 飞连网关通常会自动尝试转换 Cookie 域名，但在以下复杂场景下，自动转换逻辑可能失效，导致员工登录状态无法保持： 多级子域名嵌套：后端使用如 api.v1.internal.local 这种多层级的私有域名。 非标准映射：后端域名与公网域名在层级结构上完全不对应（例如后端是 test.local，公网是 app.company.com）。 跨域共享需求：多个子系统需要共享同一个父域名的 Cookie。 操作指引： 每组映射包含左右两个输入框。 左侧输入框（键/Key）：填写后端应用在 Set-Cookie 属性中设置的原始域名。 右侧输入框（值/Value）：填写对应的、可供员工填写员工实际访问时的公网域名或其父域名。 点击 + 继续添加可建立多组映射。	假设后端返回 Set-Cookie: session_id=123; Domain=oa.internal;，而公网访问地址是 https://oa.xyz.com。 键 (Key)：oa.internal 值 (Value)：oa.xyz.com 生效效果：员工浏览器收到的信息将变为 Domain=oa.xyz.com，从而保证登录会话在公网环境下依然有效。
   3. Token Cookie 作用域	用于定义网关签发的身份凭证（Token）Cookie 的有效域名范围。通过手动指定该作用域，可以控制浏览器在访问哪些域名时会自动携带该登录凭证。 解决的业务痛点： 当企业通常拥有多个子系统时（如 oa.example.com、hr.example.com）。 配置前（默认状态）：若不配置，Cookie 仅对当前访问的具体应用域名生效。员工登录 OA 后，打开 HR 系统时，浏览器不会发送 OA 的凭证，导致员工需要再次登录。 配置后：通过扩大作用域，实现“一处登录，处处通行”的单点登录（SSO）体验。 配置建议： 建议填入企业统一的根域名。	假设企业有两个应用：git.corp.com 和 wiki.corp.com。 配置项填入：.corp.com 生效效果：员工登录过 Git 后，在同一浏览器打开 Wiki 时，网关会自动识别其身份并直接放行，无需重复输入账号密码
   4. 特殊访问地址映射	用于处理非标准或复杂的认证跳转逻辑。通过建立路径映射关系，确保应用在特定路径（如登录初始化页面）进行重定向时，URL 中携带的查询参数和锚点能够被完整保留并正确传递。 解决的业务痛点： 在使用 OAuth2.0、SAML 等协议或访问陈旧的业务系统时，跳转过程往往非常复杂。 配置前：网关在处理跳转时，可能会由于默认逻辑导致 URL 后的关键参数（如 state、client_id）丢失，或者无法识别特定的锚点路径，导致登录循环或页面报错（404）。 配置后：管理员手动定义映射关系，强制网关按照预设路径进行“点对点”翻译，确保跳转过程中的数据完整性。 操作指引： 每组规则包含左右两个输入框。 左侧输入框（键/Key）：填写后端应用触发跳转时使用的内部相对路径或原始地址。 右侧输入框（值/Value）：填写该路径在网关公网环境下对应的完整访问地址或指定路径。 点击 + 继续添加可建立多组规则。	假设某旧版 ERP 系统在登录时必须携带一个 ?source=legacy 参数，否则无法初始化会话。 键 (Key)：/erp/login 值 (Value)：https://gateway.corp.com/erp/login 生效效果：当用户请求被重定向至登录页时，网关会强制锁定该映射关系，确保 source=legacy 及其后的所有参数都能原封不动地传给终端。
   5. 响应重写黑名单	用于定义一系列不受网关响应修改逻辑影响的 URL 路径。在此名单内的路径，网关将原封不动地透传后端服务器返回的所有内容，不再执行任何地址替换或脚本注入操作，防止静态资源损坏、接口签名失效等问题。 配置说明： 在输入框中填入需要排除的 URL 相对路径，支持通配符（如 /api/*）。若有多个路径，请使用换行符分隔。	若您的应用接口地址集中在 /v1/api/ 目录下： 填入：/v1/api/* 若某些特定的前端脚本出现报错： 填入：/static/js/*.js
   6. 响应重写扩展名	用于定义允许网关执行“响应重写”逻辑的文件后缀白名单。网关将仅对匹配此处配置的文件（如 .html 页面）进行内容解析与修改（如：内网 IP 自动替换、脚本注入、水印添加等）；对于不在列表中的后缀，网关将直接透传，不作任何扫描。 解决的业务痛点： 默认情况下，网关如果尝试对所有流量进行深度扫描，会引发以下问： 性能损耗严重：扫描图片（.jpg）、视频（.mp4）或安装包（.exe）等大型二进制文件中的“内网 IP”毫无意义，且会消耗网关极高的 CPU 与内存资源，导致全员访问卡顿。 文件损坏风险：对非文本类数据进行强行改写，可能导致文件内容损坏，导致下载后的压缩包报错或图片无法显示。 配置说明： 在输入框中填入需要被网关处理的文件扩展名。建议仅填写文本类后缀。例如：.html, .jsp, .php, .asp, .txt。多个后缀请使用换行符分割。
   7. 禁用 Cookie 域名重写	开启后，网关将停止对后端响应头 Set-Cookie 中的 Domain属性进行自动识别和改写。网关将原封不动地将后端设置的 Cookie 域名信息传递给用户浏览器。 配置建议： 建议保持关闭（即允许网关自动重载），仅在以下情况下开启： 后端服务已经手动配置了正确的对外公网 Cookie 域名。 发现网关自动改写后的 Cookie 在浏览器中因域名不匹配或跨域限制而失效。 您已经通过配置项 2 Cookie 域名自定义映射手动接管了重写逻辑（在某些特定版本中，开启此开关可确保手动映射规则具有最高确定性）。
   8. Hashtag (#) 保留路径	用于指定需要网关主动捕获并保留 URL 锚点（即 # 号及其后续的 Fragment 内容）的特定路径。网关将向这些路径的响应中注入一段前端脚本，用于捕获浏览器默认不发送给服务器的 Hash 参数，并将其传递至后端。 解决的业务痛点： 根据 HTTP 标准协议，浏览器在发起请求时不会将 URL 中 # 号之后的内容发送给服务器。但在以下场景中，这会导致业务中断： OAuth 2.0 隐式授权流：许多认证系统会将 access_token 或 id_token 放在 # 号后面返回（例如：callback#access_token=xyz）。由于网关收不到 # 后的内容，导致无法完成身份校验。 单页应用 (SPA)：Vue、React 等框架构建的应用经常使用“Hash 路由”来控制页面跳转。网关若无法感知这些路由变化，可能导致权限判定错误或页面刷新后 404。 配置说明： 在输入框中填入需要执行此逻辑的 URL 相对路径，通常为应用中的回调地址或首页路径。支持通配符：例如 /auth/callback*。	假设您的应用通过 https://oa.com/login#token=123 进行登录校验。 填入：/login 或 /login* 生效效果：员工访问该路径时，飞连网关会通过注入的脚本“抓取”原本只存在于浏览器端的 token=123，并确保后端业务系统能够正确接收并处理该参
   9. 禁用 Iframe 自动重写	默认情况下，网关会自动修复 Iframe 中的内网地址以确保访问正常。若此行为导致页面嵌套加载异常或功能冲突，请开启此选项。 开启后，网关将停止向页面注入用于修复 Iframe 路径的自动化脚本。网关将不再主动识别和修改 HTML 中 <iframe> 标签的 src 地址。 配置建议： 建议保持关闭（即允许网关自动修复），仅在以下情况下开启： 当您发现页面中的嵌套子窗口显示异常（如报 JS 错误），但在内网环境下正常时。 当后端应用已具备完善的相对路径处理逻辑，不需要网关额外注入脚本进行干预时。
   10. 安全策略优先注入	开启后，网关会将飞连安全策略相关的脚本（如：屏幕水印、防复制、防截屏逻辑等）的注入位置由默认位置调整至 HTML 文档的 <body> 标签起始处。 解决的业务痛点： 在访问大型 Web 应用或网络带宽受限时，页面内容往往比安全脚本先加载完成。 安全“空窗期”：在脚本加载并执行前的几秒钟内，页面内容已处于展示状态，但此时安全防护尚未生效。员工可能利用这段延迟进行无水印截屏或复制敏感内容。 防护失效：某些复杂的前端架构可能会中途拦截或延迟执行页面底部的脚本，导致安全策略无法正常加载。 配置建议： 建议保持关闭，仅在以下情况下开启： 高敏感业务系统：如财务报表、核心研发文档、人事信息系统，要求安全水印必须随页面开启“秒级”展示。 消除加载延迟：当观察到页面内容展示后，水印需要延迟较长时间才出现时，开启此项可将防护能力前置。 注意事项： 在极少数情况下，开启此开关可能会导致某些对 HTML 结构顺序有严格要求的业务系统出现布局错乱、JS 报错或页面功能异常。开启后请务必针对不同浏览器进行兼容性测试，确认业务功能正常且安全策略加载无误后再正式发布。
   11. 禁用 Hashtag Accept 头检查	开启后，网关在执行 Hashtag（URL 锚点）重定向逻辑时，将不再校验客户端请求头中的 Accept 字段。系统将仅根据 URL 路径进行匹配并触发脚本注入。 解决的业务痛点： 为了确保性能，飞连网关默认仅在检测到客户端请求“HTML 页面”（即 Accept: text/html）时，才会注入用于捕获 # 号后参数的脚本。但在以下兼容性场景中，这种保护机制会导致功能失效： 旧版或非标准客户端：某些旧版本的浏览器、特定的移动端 App 或嵌入式设备在发起请求时，不会发送标准的 Accept: text/html 头部信息，或者发送的格式不规范。 判定失效：由于头部信息不匹配，网关会认为该请求不需要处理锚点参数，从而跳过脚本注入，导致员工在这些设备上无法完成基于 Hashtag 的登录或跳转。 配置建议： 建议保持关闭，​仅在配合配置项 8 Hashtag (#) 保留路径使用且出现异常时考虑开启。 当您已正确配置了 Hashtag 保留路径，但在某些特定旧设备、旧版操作系统或第三方集成 App 中访问依然出现登录循环、参数丢失时。 当后端应用对请求头的规范性要求不高，但对 Hashtag 参数依赖性极强时。