headers
标头允许你在给定路径上为传入请求的响应设置自定义 HTTP 标头。
要设置自定义 HTTP 标头,你可以使用 next.config.js 中的 headers 键。
module.exports = {
async headers() {
return [
{
source: '/about',
headers: [
{
key: 'x-custom-header',
value: 'my custom header value',
},
{
key: 'x-another-custom-header',
value: 'my other custom header value',
},
],
},
]
},
}headers 是一个异步函数,它期望返回一个数组,该数组包含具有 source 和 headers 属性的对象。
source是传入请求路径模式。headers是响应标头对象的数组,具有key和value属性。basePath:false或undefined- 如果为 false,则匹配时将不包含 basePath,仅可用于外部重写。locale:false或undefined- 是否在匹配时不应包含 locale。has是 has 对象 的数组,具有type、key和value属性。missing是 missing 对象 的数组,具有type、key和value属性。
标头在文件系统(包括页面和 /public 文件)之前进行检查。
标头覆盖行为
如果两个标头匹配相同的路径并设置相同的标头键,则最后一个标头键将覆盖第一个。使用下面的标头,路径 /hello 将导致标头 x-hello 的值为 world,因为设置的最后一个标头值为 world。
module.exports = {
async headers() {
return [
{
source: '/:path*',
headers: [
{
key: 'x-hello',
value: 'there',
},
],
},
{
source: '/hello',
headers: [
{
key: 'x-hello',
value: 'world',
},
],
},
]
},
}路径匹配
允许路径匹配,例如 /blog/:slug 将匹配 /blog/hello-world(没有嵌套路径)
module.exports = {
async headers() {
return [
{
source: '/blog/:slug',
headers: [
{
key: 'x-slug',
value: ':slug', // Matched parameters can be used in the value
},
{
key: 'x-slug-:slug', // Matched parameters can be used in the key
value: 'my other custom header value',
},
],
},
]
},
}通配符路径匹配
要匹配通配符路径,你可以在参数后使用 *,例如 /blog/:slug* 将匹配 /blog/a/b/c/d/hello-world
module.exports = {
async headers() {
return [
{
source: '/blog/:slug*',
headers: [
{
key: 'x-slug',
value: ':slug*', // Matched parameters can be used in the value
},
{
key: 'x-slug-:slug*', // Matched parameters can be used in the key
value: 'my other custom header value',
},
],
},
]
},
}正则表达式路径匹配
要匹配正则表达式路径,你可以将正则表达式包装在参数后的括号中,例如 /blog/:slug(\\d{1,}) 将匹配 /blog/123 但不匹配 /blog/abc
module.exports = {
async headers() {
return [
{
source: '/blog/:post(\\d{1,})',
headers: [
{
key: 'x-post',
value: ':post',
},
],
},
]
},
}以下字符 (, ), {, }, :, *, +, ? 用于正则表达式路径匹配,因此当在 source 中用作非特殊值时,必须通过在它们前面添加 \\ 来转义它们。
module.exports = {
async headers() {
return [
{
// this will match `/english(default)/something` being requested
source: '/english\\(default\\)/:slug',
headers: [
{
key: 'x-header',
value: 'value',
},
],
},
]
},
}标头、Cookie 和查询匹配
为了仅在标头、cookie 或查询值也匹配 has 字段或不匹配 missing 字段时应用标头,可以使用 has 字段或 missing 字段。 必须同时匹配 source 和所有 has 项,并且所有 missing 项都必须不匹配,才能应用标头。
has 和 missing 项可以具有以下字段
type:String- 必须是header、cookie、host或query之一。key:String- 要匹配的所选类型的键。value:String或undefined- 要检查的值,如果未定义,则任何值都将匹配。 可以使用类似字符串的正则表达式来捕获值的特定部分,例如,如果值first-(?<paramName>.*)用于first-second,则second将可在目标中使用:paramName。
module.exports = {
async headers() {
return [
// if the header `x-add-header` is present,
// the `x-another-header` header will be applied
{
source: '/:path*',
has: [
{
type: 'header',
key: 'x-add-header',
},
],
headers: [
{
key: 'x-another-header',
value: 'hello',
},
],
},
// if the header `x-no-header` is not present,
// the `x-another-header` header will be applied
{
source: '/:path*',
missing: [
{
type: 'header',
key: 'x-no-header',
},
],
headers: [
{
key: 'x-another-header',
value: 'hello',
},
],
},
// if the source, query, and cookie are matched,
// the `x-authorized` header will be applied
{
source: '/specific/:path*',
has: [
{
type: 'query',
key: 'page',
// the page value will not be available in the
// header key/values since value is provided and
// doesn't use a named capture group e.g. (?<page>home)
value: 'home',
},
{
type: 'cookie',
key: 'authorized',
value: 'true',
},
],
headers: [
{
key: 'x-authorized',
value: ':authorized',
},
],
},
// if the header `x-authorized` is present and
// contains a matching value, the `x-another-header` will be applied
{
source: '/:path*',
has: [
{
type: 'header',
key: 'x-authorized',
value: '(?<authorized>yes|true)',
},
],
headers: [
{
key: 'x-another-header',
value: ':authorized',
},
],
},
// if the host is `example.com`,
// this header will be applied
{
source: '/:path*',
has: [
{
type: 'host',
value: 'example.com',
},
],
headers: [
{
key: 'x-another-header',
value: ':authorized',
},
],
},
]
},
}支持 basePath 的标头
当利用 basePath 支持 和标头时,每个 source 都会自动添加 basePath 前缀,除非你向标头添加 basePath: false。
module.exports = {
basePath: '/docs',
async headers() {
return [
{
source: '/with-basePath', // becomes /docs/with-basePath
headers: [
{
key: 'x-hello',
value: 'world',
},
],
},
{
source: '/without-basePath', // is not modified since basePath: false is set
headers: [
{
key: 'x-hello',
value: 'world',
},
],
basePath: false,
},
]
},
}支持 i18n 的标头
当利用 i18n 支持 和标头时,每个 source 都会自动添加前缀以处理配置的 locales,除非你向标头添加 locale: false。 如果使用 locale: false,则必须使用 locale 作为 source 的前缀才能正确匹配。
module.exports = {
i18n: {
locales: ['en', 'fr', 'de'],
defaultLocale: 'en',
},
async headers() {
return [
{
source: '/with-locale', // automatically handles all locales
headers: [
{
key: 'x-hello',
value: 'world',
},
],
},
{
// does not handle locales automatically since locale: false is set
source: '/nl/with-locale-manual',
locale: false,
headers: [
{
key: 'x-hello',
value: 'world',
},
],
},
{
// this matches '/' since `en` is the defaultLocale
source: '/en',
locale: false,
headers: [
{
key: 'x-hello',
value: 'world',
},
],
},
{
// this gets converted to /(en|fr|de)/(.*) so will not match the top-level
// `/` or `/fr` routes like /:path* would
source: '/(.*)',
headers: [
{
key: 'x-hello',
value: 'world',
},
],
},
]
},
}Cache-Control
Next.js 为真正不可变的资源设置 Cache-Control 标头为 public, max-age=31536000, immutable。 它无法被覆盖。 这些不可变文件在文件名中包含 SHA 哈希,因此可以安全地无限期缓存。 例如,静态图像导入。 你无法在 next.config.js 中为这些资源设置 Cache-Control 标头。
但是,你可以为其他响应或数据设置 Cache-Control 标头。
了解更多关于使用 App Router 进行缓存的信息。
选项
CORS
跨源资源共享 (CORS) 是一项安全功能,允许你控制哪些站点可以访问你的资源。 你可以设置 Access-Control-Allow-Origin 标头以允许特定来源访问你的路由处理程序.
async headers() {
return [
{
source: "/api/:path*",
headers: [
{
key: "Access-Control-Allow-Origin",
value: "*", // Set your origin
},
{
key: "Access-Control-Allow-Methods",
value: "GET, POST, PUT, DELETE, OPTIONS",
},
{
key: "Access-Control-Allow-Headers",
value: "Content-Type, Authorization",
},
],
},
];
},X-DNS-Prefetch-Control
此标头 控制 DNS 预获取,允许浏览器主动对外部链接、图像、CSS、JavaScript 等执行域名解析。 此预获取在后台执行,因此 DNS 更可能在需要引用的项目时被解析。 这减少了用户单击链接时的延迟。
{
key: 'X-DNS-Prefetch-Control',
value: 'on'
}Strict-Transport-Security
此标头 通知浏览器应仅使用 HTTPS 而不是 HTTP 访问。 使用以下配置,所有当前和未来的子域将在 max-age 为 2 年的情况下使用 HTTPS。 这会阻止访问只能通过 HTTP 提供的页面或子域。
如果你要部署到 Vercel,则此标头不是必需的,因为它会自动添加到所有部署,除非你在 next.config.js 中声明 headers。
{
key: 'Strict-Transport-Security',
value: 'max-age=63072000; includeSubDomains; preload'
}X-Frame-Options
此标头 指示是否应允许站点在 iframe 中显示。 这可以防止点击劫持攻击。
此标头已被 CSP 的 frame-ancestors 选项取代,后者在现代浏览器中具有更好的支持(有关配置详细信息,请参阅内容安全策略)。
{
key: 'X-Frame-Options',
value: 'SAMEORIGIN'
}Permissions-Policy
此标头 允许你控制浏览器中可以使用哪些功能和 API。 它以前名为 Feature-Policy。
{
key: 'Permissions-Policy',
value: 'camera=(), microphone=(), geolocation=(), browsing-topics=()'
}X-Content-Type-Options
此标头 阻止浏览器尝试猜测内容的类型(如果未显式设置 Content-Type 标头)。 这可以防止允许用户上传和共享文件的网站遭受 XSS 攻击。
例如,用户尝试下载图像,但将其视为不同的 Content-Type(如可执行文件),这可能是恶意的。 此标头也适用于下载浏览器扩展。 此标头的唯一有效值为 nosniff。
{
key: 'X-Content-Type-Options',
value: 'nosniff'
}Referrer-Policy
此标头 控制浏览器从当前网站(来源)导航到另一个网站时包含多少信息。
{
key: 'Referrer-Policy',
value: 'origin-when-cross-origin'
}Content-Security-Policy
了解更多关于向你的应用程序添加内容安全策略的信息。
版本历史
| 版本 | 变更 |
|---|---|
v13.3.0 | 添加了 missing。 |
v10.2.0 | 添加了 has。 |
v9.5.0 | 添加了标头。 |
这样有帮助吗?