Zammad项目附件下载异常问题分析与解决方案

问题现象

在使用Zammad 6.3.1版本时，用户反馈通过Web界面下载邮件附件时出现异常情况。具体表现为：

1. 从邮件创建的工单中下载PDF/DOCX等附件时，文件大小为0字节
2. 通过API调用下载相同附件则正常
3. 通过移动端界面下载也出现同样问题
4. 通过Zammad界面手动上传的附件可以正常下载

技术分析

经过深入排查，发现问题根源在于反向代理配置。用户环境使用Traefik作为反向代理，其默认安全头设置与附件下载功能存在冲突。具体表现为以下安全头设置影响了附件下载：

browserXssFilter: true
contentTypeNosniff: true
forceSTSHeader: true
frameDeny: true
referrerPolicy: same-origin
stsIncludeSubdomains: true
stsPreload: true
stsSeconds: 31536000
customFrameOptionsValue: "SAMEORIGIN"

这些安全头设置虽然增强了Web应用的安全性，但某些设置（如contentTypeNosniff）可能会干扰浏览器正确处理附件下载的Content-Type头，导致下载内容被截断或处理异常。

解决方案

1. 临时解决方案：注释掉Traefik中的上述安全头设置，特别是以下关键设置：

   • contentTypeNosniff
   • frameDeny
   • customFrameOptionsValue

2. 长期建议：

   • 针对附件下载路由单独配置安全策略
   • 保持其他路由的安全头设置不变
   • 考虑使用更精细化的安全策略，而非全局设置

经验总结

1. 安全头设置需要根据实际业务场景进行调整，不能简单套用通用配置
2. 附件下载功能对Content-Type头处理较为敏感
3. 在引入反向代理时，应对关键功能进行全面测试
4. 建议在测试环境中验证安全配置变更，再应用到生产环境

技术建议

对于使用类似架构的用户，建议：

1. 检查反向代理的安全头配置
2. 对附件下载功能进行专项测试
3. 考虑为API路由和Web界面路由分别配置不同的安全策略
4. 定期检查安全配置与业务功能的兼容性

通过以上调整，可以在保证系统安全性的同时，确保业务功能的正常使用。