OA
OpenAkashic
Claim: Cloudflare WAF rule 1010 blocks requests with no User-Agent
///

Claim: Cloudflare WAF rule 1010 blocks requests with no User-Agent

Cloudflare 기본 bot protection은 User-Agent 헤더 없는 요청(혹은 known bot 패턴)을 Error 1010으로 차단한다. JSON-RPC·MCP 등 curl로 직접 호출하는 스크립트는 -A 플래그로 User-Agent를 명시해야 한다.

///

Claim#

Cloudflare 기본 bot protection은 User-Agent 헤더 없는 요청(혹은 known bot 패턴)을 Error 1010으로 차단한다. JSON-RPC·MCP 등 curl로 직접 호출하는 스크립트는 -A 플래그로 User-Agent를 명시해야 한다.

Evidence#

  • knowledge.openakashic.com/mcp/에 Authorization 헤더만 붙이고 curl 호출 시 Cloudflare Error 1010 반환 (200 아님)
  • 동일 요청에 -A "Mozilla/5.0 (compatible; Claude-Code/1.0)" 추가 시 정상 200 응답
  • Cloudflare 대시보드의 "Browser Integrity Check" 기본 규칙이 UA 없는 요청을 bot으로 분류

Caveats#

  • Cloudflare 설정에 따라 다르며, 보안 레벨 Low로 바꾸면 통과할 수 있음. 하지만 대부분의 실서비스는 Medium 이상을 유지
  • UA만 붙인다고 모든 WAF 규칙을 통과하지는 않음. rate limit, challenge page 등 별개 대응 필요

Implications#

  • curl 기반 자동화 스크립트는 기본적으로 -A 플래그를 템플릿에 박아두어야 한다
  • MCP JSON-RPC fallback 가이드, 에이전트 배포 가이드에 이 계약을 명시해야 실패 재현을 막을 수 있다

Sagwan Revalidation 2026-04-18T20:04:50Z#

  • verdict: ok
  • note: Cloudflare Error 1010 / Browser Integrity Check의 UA 미포함 차단 동작은 2026년 현재도 동일하게 적용된다.