当前位置：首页 > article >正文

等了两年，Cloudflare 终于给规则引擎加上了通配符

article 2026/5/6 20:38:14

有些功能不是技术上难而是做对了才算真难。通配符Wildcard匹配就是这样。它的概念简单得不能再简单——用一个*号代表任意内容——但要在一个服务数千万域名的规则引擎里把它做对背后藏着一连串工程上的权衡。2024 年 8 月Cloudflare 在 Ruleset Engine 全系列产品上正式上线了通配符支持并把自研的wildcard库作为开源 crate 发布。这篇文章把这件事从头到尾讲清楚。原文链接https://blog.cloudflare.com/wildcard-rules/wildcard cratehttps://crates.io/crates/wildcard开源仓库https://github.com/cloudflare/wildcard先说通配符是什么通配符模式匹配里*表示匹配任意内容包括空内容。一个单独的模式https://example.com/*/t*st可以同时覆盖https://example.com/en/testhttps://example.com/images/toasthttps://example.com/blog/trust每个*捕获的内容可以用${1}、${2}这样的语法在目标表达式里引用。这在 URL 重定向里尤其有用源 URL 模式https://example.com/*/t*st 目标 URL https://${1}.example.com/t${2}st这条规则会把https://example.com/uk/test重定向到https://uk.example.com/testhttps://example.com/images/toast重定向到https://images.example.com/toast一条规则覆盖无数变体。这就是通配符的价值。没有通配符之前用户有多痛苦Cloudflare 在 2012 年推出的 Page Rules 原生支持通配符匹配。彼时把旧路径重定向到新路径只需要两行配置源 URL https://example.com/old-path/* 目标 URLhttps://example.com/new-path/$12022 年Cloudflare 推出了基于 Ruleset Engine 的 Single Redirects作为 Page Rules URL 转发功能的现代替代品。新产品在性能和表达能力上更强但当时不支持通配符。要在 Single Redirects 里实现同样的旧路径转新路径写法变成了这样过滤条件 (http.host eq example.com and starts_with(http.request.uri.path, /old-path/)) 目标表达式 concat(/new-path/, substring(http.request.uri.path, 10)) // 其中 10 是 /old-path/ 的字符长度需要手动计算对于有正则表达式基础的开发者来说这个写法勉强可以接受。但对于绝大多数用户而言starts_with、substring、concat嵌套起来还要手动数字符串长度——这已经超出了配置规则的认知范畴变成了写代码。用户的反馈持续了两年通配符支持是 Cloudflare Rules 产品收到最多的功能请求之一。这次发布的三个新能力1. 两个新的匹配操作符在 Ruleset Engine 的过滤表达式里新增了两个操作符wildcard大小写不敏感匹配时忽略大小写test和TesT视为相同。行为和老版 Page Rules 一致方便迁移。strict wildcard大小写敏感严格匹配test不等于TesT。这两个操作符可以作用于 Ruleset Engine 里所有的字符串字段包括完整 URI、Host、HTTP 请求头、Cookie、User-Agent、来源国家等。一个典型的 WAF 规则示例——匹配特定 User-Agent 格式的请求http.user_agent wildcard Mozilla/*(*Macintosh; Intel Mac OS*)*Gecko/*Firefox/*这条规则可以匹配所有符合该模式的 Firefox 请求同时忽略大小写差异。2. wildcard_replace() 函数在 Single Redirects 里新增了wildcard_replace()函数允许在重定向目标 URL 里引用通配符匹配到的片段wildcard_replace( http.request.full_uri, https://example.com/*/page/*, https://example.com/products/${1}?page${2} )这一条配置就能把所有符合模式的 URL 动态转换为新格式不需要concat、substring不需要数字符串长度。3. 简化的可视化界面对于不想写函数表达式的用户Cloudflare 在 Single Redirects 的控制台界面里新增了通配符模式入口直接填写源 URL 模式和目标 URL 模式逻辑和 Page Rules 时代完全一致。从视觉上看和 Page Rules 几乎没有学习成本背后运行的是更高性能的 Ruleset Engine。覆盖的产品范围Cache Rules、Compression Rules、Configuration Rules、Custom Errors、Origin Rules、Redirect Rules、Snippets、Transform Rules、WAF、Waiting Room 以及其他基于 Ruleset Engine 的产品全部适用。且对所有套餐用户免费开放。工程实现为什么要自己写一个通配符库Ruleset Engine 核心用 Rust 实现。加入通配符支持时团队首先评估了现有的 Rust crate。为什么不用 regex crateregexcrate 是 Rust 生态里最成熟的正则表达式库。但问题在于通配符模式需要先转换为正则表达式——*转为.*同时还要对其他在正则里有特殊含义的字符做转义处理。这层转换增加了额外复杂度而且引入了通配符语义和正则语义之间不必要的摩擦。为什么不用 wildmatch cratewildmatch是专门为通配符匹配设计的 Rust 库不需要转换为正则也处理了通配符匹配的时间复杂度问题——在最坏情况下是 O(p ℓ s·ℓ)其中 p 是模式长度ℓ 是输入串长度s 是*号的数量。但wildmatch有两个关键限制无法满足需求只支持 UTF-8 字符串Ruleset Engine 需要字节级别的匹配不能假设输入是合法的 UTF-8不支持转义序列用户有时需要匹配字面量的*应该能用\*来表达wildmatch不支持这个还有一个更根本的问题wildcard_replace()函数需要的不只是是否匹配而是匹配到了什么——需要把每个*对应的捕获片段提取出来以便在目标 URL 里替换。wildmatch没有这个能力。自研的选择Kurt 算法 Krauss 优化Cloudflare 最终决定自行实现一个 wildcard crate基于 Kurt 2016 年的迭代算法结合 Krauss 2014 年算法的优化改进。实现支持字节级匹配不限制输入必须是合法 UTF-8转义序列\*表示字面量星号\\表示字面量反斜杠捕获匹配段每个*匹配的子串都可以被提取供wildcard_replace()使用安全设计Ruleset Engine 将单个模式里的*数量上限设为 8 个。这个限制有两层意义一是控制最坏情况下的时间复杂度保证规则执行的性能下界二是防止恶意用户通过构造极端复杂的模式和输入字符串来消耗过量 CPU是一种主动的滥用防护设计。总结这次更新的表面是一个功能发布背后是一次从用户体验出发的完整工程决策链用户反馈 → 找到根本问题规则表达式对普通用户过于复杂→ 评估现有方案两个主流 crate 均不满足→ 自研并开源精确满足需求同时回馈生态→ 在多个产品和所有套餐上同步上线。对于 Cloudflare 的用户最直接的收益是URL 重定向这件事终于可以像十二年前用 Page Rules 一样简单直接地做到同时享受新引擎的性能优势。对于 Rust 开发者wildcardcrate 已经开源字节级匹配、转义支持、捕获组提取可以直接用于任何有类似需求的项目。

等了两年，Cloudflare 终于给规则引擎加上了通配符

相关文章：

等了两年，Cloudflare 终于给规则引擎加上了通配符

从游戏开发视角看OpenGL：在VS2022中快速搭建你的第一个3D渲染窗口（附完整代码）

2026 四川创意设计服务排名：可视化、UI、品牌 VI 与 3D 数字内容优选

TestDisk数据恢复终极指南：3步找回丢失分区和误删文件

别再乱调价了！广告主必看的oCPC出价与转化回传实战避坑指南

从实验室小白到看懂PET报告：给临床医生和影像科新人的非物理向科普指南

替换背景颜色怎么操作？2026年最全免费工具推荐与详细教程

没有专业暗室怎么办？用示波器+电流钳给你的产品做个骚扰功率‘体检’（附估算方法与避坑指南）

你的电脑管家可能是蓝屏帮凶？实测Wise System Monitor与英特尔RST驱动冲突引发的IRQL_NOT_LESS_OR_EQUAL

三步掌握QQ空间记忆备份：GetQzonehistory让你的青春永不褪色

Git克隆又报错？手把手教你排查并解决GnuTLS recv error (-110)这个烦人问题

2026，RAG 正在被重写：从向量检索到 Agent 认知架构的范式迁移

【AI Agent实战】竞品分析的正确姿势：四象限 + 对标矩阵 + 护城河三板斧，为你的产品找到独占位

终极破解指南：Cursor Pro永久免费使用完整解决方案

银河麒麟V10上，麒麟天御V4.0.0客户端三种安装方式保姆级实测（含软件源配置避坑点）

从零搭建一个简易WebGIS项目：用Leaflet.js和GeoJSON数据快速上手空间可视化

从零到可运行：手把手在Ubuntu 20.04上为YOLOv5搭建TensorRT加速环境（含模型转换实战）

告别手动点点点：用Python脚本一键启动CANoe测试（附TestModule/vTESTstudio配置避坑指南）

PDH锁频原理看不懂？别怕，这篇用‘开车找车位’的比喻给你讲明白（附Moku实测）

智能编程搭档：如何用快马平台的AI模型优化你的蓝桥杯嵌入式代码

APP加固防Hook效果哪家强？实测RASP与代码虚拟化技术差距

BilibiliDown：你的专属B站视频离线收藏库

003-JSON-Output-Control

别再只抓802.11了！Wireshark解密WPA/WEP实战：从抓包到看清网页访问的完整流程

2026年新高中高考英语大纲词汇表3500个电子版PDF（含正序版、乱序版和默写版）

MCP 2026日志分析智能告警配置实战手册（含YAML模板库+动态阈值算法白皮书）

前后端跨域彻底弄懂：前端代理、Nginx线上部署、后端到底要不要配CORS？

中级OpenGL教程 004：为几何体注入法线灵魂

面向智能客服的对话状态跟踪与策略优化，智能客服的核心突破：从“听不懂人话”到精准理解用户意图——对话状态跟踪与策略优化完全指南

手把手教你用Vivado 2019.1在Kintex-7上搭建10G UDP协议栈（附12套源码）