接入后问题排查
更新时间:2026-05-21
接入 WAF 后返回 502
| # | 可能原因 | 解决方案 |
|---|---|---|
| 1 | 源站安全组未放行 WAF 回源 IP | 在源站安全组中加白 WAF 回源 IP 段,具体参考 设置安全组访问限制 |
| 2 | 回源地址配置错误(IP 或域名填写有误) | 检查是否配置了正确的、业务实际使用的域名与源站信息 |
| 3 | 源站仅支持 TLS 1.3,WAF 当前不支持 TLS 1.3 回源 | 源站扩展支持 TLS 1.2,或改为 HTTP 回源 |
| 4 | 回源协议不匹配(如配置 HTTPS 回源但源站仅开放 HTTP) | 确认回源协议与源站实际监听协议一致 |
| 5 | 源站响应超时或连接异常,超出 WAF 默认回源超时配置 | 根据实际场景,在「域名接入」→「回源能力」中调整「建连超时时间」、「空闲长连接超时时间」、「读连接超时时间」、「回源重试次数」 |
| 6 | 源站 SSL 证书问题(过期、自签名、证书链不完整),WAF 回源时 TLS 握手失败 | 更新源站证书或改为 HTTP 回源 |
接入 WAF 后返回 405
405 表示 JS 挑战校验失败。
| # | 可能原因 | 解决方案 |
|---|---|---|
| 1 | 客户端时间戳不准确,JS 挑战校验时间偏差过大 | 校准客户端系统时间 |
| 2 | 非浏览器环境(APP、API 接口、短信回调等)无法执行 JS | 对这些场景的 URL/UA 配置白名单,跳过 JS 挑战 |
| 3 | 客户端禁用了 JavaScript 或 Cookie,JS 挑战无法完成验证流程 | 启用 JavaScript 或 Cookie;或对该场景配置白名单跳过 JS 挑战 |
| 4 | WAF 前有七层代理(CDN 等)缓存了 JS 挑战页面,导致后续请求携带过期的验证信息 | WAF 前有七层代理时,在域名接入配置中开启"WAF 前有七层代理"选项;排查中间层缓存策略 |
如何确认是否为误拦截: 在「攻击详情」页面查看被拦截请求的详情(攻击时间、请求路径、命中规则等)。 若判定为正常业务请求被误拦截,可通过白名单规则对指定 URL/UA 跳过 JS 挑战模块。
接入 WAF 后返回 429
429 表示请求频率超出套餐 QPS 保底限制。
解决方案: 升级 QPS 规格,或开启超量弹性计费避免限速。
开启 Bot 防护或 JS 挑战后,APP / 小程序无法访问
JS 挑战和动态令牌需要浏览器环境执行 JavaScript,APP、小程序、API 接口等非标准浏览器场景无法通过验证。
解决方案: 针对 APP/API 的 URL 或 UA 特征配置白名单,跳过 Bot 检测模块或 JS 挑战。
两个域名之间的接口调用报 CORS 跨域错误,是 WAF 拦截的吗?
WAF 不处理跨域策略。CORS 错误是因为源站未返回 Access-Control-Allow-Origin 等响应头。
解决方案: 在源站配置跨域策略。
评价此篇文章