headers
Headers 允许你在对指定路径的传入请求的响应中设置自定义 HTTP headers。
要设置自定义 HTTP headers,你可以在 next.config.js
中使用 headers
键:
headers
是一个异步函数,需要返回一个包含 source
和 headers
属性的对象数组:
source
是传入请求路径模式。
headers
是响应 header 对象的数组,包含 key
和 value
属性。
basePath
:false
或 undefined
- 如果为 false,在匹配时不会包含 basePath,仅用于外部重写。
locale
:false
或 undefined
- 是否在匹配时不包含语言环境。
has
是一个包含 type
、key
和 value
属性的匹配对象数组。
missing
是一个包含 type
、key
和 value
属性的缺失对象数组。
Headers 会在文件系统(包括页面和 /public
文件)之前进行检查。
如果两个 headers 匹配相同的路径并设置相同的 header 键,最后一个 header 键将覆盖第一个。使用以下 headers,路径 /hello
将导致 header x-hello
的值为 world
,因为最后设置的 header 值是 world
。
允许路径匹配,例如 /blog/:slug
将匹配 /blog/hello-world
(不包含嵌套路径):
要匹配通配符路径,你可以在参数后使用 *
,例如 /blog/:slug*
将匹配 /blog/a/b/c/d/hello-world
:
要匹配正则表达式路径,你可以在参数后的括号中包含正则表达式,例如 /blog/:slug(\\d{1,})
将匹配 /blog/123
但不匹配 /blog/abc
:
以下字符 (
、)
、{
、}
、:
、*
、+
、?
用于正则表达式路径匹配,因此当在 source
中用作非特殊值时,必须通过在它们前面添加 \\
来转义:
要仅在 header、cookie 或查询参数值也匹配 has
字段或不匹配 missing
字段时应用 header,可以使用这些选项。source
和所有 has
项必须匹配,且所有 missing
项必须不匹配,header 才会被应用。
has
和 missing
项可以包含以下字段:
type
:String
- 必须是 header
、cookie
、host
或 query
之一。
key
:String
- 从所选类型中匹配的键。
value
:String
或 undefined
- 要检查的值,如果是 undefined 则任何值都会匹配。可以使用类似正则表达式的字符串来捕获值的特定部分,例如,如果值 first-(?<paramName>.*)
用于 first-second
,则 second
可以在目标中使用 :paramName
。
当使用 headers 时结合 basePath
支持,每个 source
会自动添加 basePath
前缀,除非你在 header 中添加 basePath: false
:
当使用 headers 时结合 i18n
支持,每个 source
会自动添加前缀以处理配置的 locales
,除非你在 header 中添加 locale: false
。如果使用了 locale: false
,你必须为 source
添加语言环境前缀才能正确匹配。
Next.js 为真正不可变的资产设置了 Cache-Control
header:public, max-age=31536000, immutable
。这不能被覆盖。这些不可变文件的文件名中包含 SHA 哈希,所以可以安全地永久缓存。例如,静态图片导入。你不能在 next.config.js
中为这些资产设置 Cache-Control
header。
但是,你可以为其他响应或数据设置 Cache-Control
header。
了解更多关于 App Router 的缓存。
跨源资源共享 (CORS) 是一个安全特性,允许你控制哪些站点可以访问你的资源。你可以设置 Access-Control-Allow-Origin
header 来允许特定来源访问你的 路由处理器。
此 header 控制 DNS 预取,允许浏览器主动对外部链接、图像、CSS、JavaScript 等进行域名解析。这种预取在后台执行,因此当需要引用的项目时,DNS 更有可能已经被解析。这减少了用户点击链接时的延迟。
此 header 通知浏览器它应该只使用 HTTPS 访问,而不是使用 HTTP。使用以下配置,所有当前和未来的子域将在 max-age
为 2 年的时间内使用 HTTPS。这会阻止访问只能通过 HTTP 提供服务的页面或子域。
如果你部署到 Vercel,则不需要此 header,因为它会自动添加到所有部署中,除非你在 next.config.js
中声明 headers
。
此 header 指示网站是否允许在 iframe
中显示。这可以防止点击劫持攻击。
此 header 已被 CSP 的 frame-ancestors
选项取代,在现代浏览器中具有更好的支持(有关配置详情,请参见 Content Security Policy)。
此 header 允许你控制浏览器中可以使用哪些功能和 API。它之前被命名为 Feature-Policy
。
此 header 防止浏览器在未明确设置 Content-Type
header 的情况下尝试猜测内容类型。这可以防止允许用户上传和共享文件的网站遭受 XSS 攻击。
例如,用户试图下载一个图片,但它被视为不同的 Content-Type
(如可执行文件),这可能是恶意的。此 header 也适用于浏览器扩展的下载。此 header 的唯一有效值是 nosniff
。
此 header 控制当从当前网站(来源)导航到另一个网站时,浏览器包含多少信息。
了解更多关于向你的应用程序添加 Content Security Policy。
版本 | 变更 |
---|
v13.3.0 | 添加 missing |
v10.2.0 | 添加 has |
v9.5.0 | 添加 Headers |