[疑问] cf saas优选多个自定义主机名问题

背景

有个大盘鸡作为图片存储使用，static.sspan.com作为回退源，其中aiheisi.com已经建站，img.aiheisi.com二级域名接入cf saas优选

为了防止盗链设置了两个waf规则，一个是允许访问，一个是阻止访问。

访问aiheisi.com，文章引用的图片正常，单独访问图片会被block，这代表符合预期。

问题

1.新建一个网站test.com，同样使用上面的大盘鸡建站，img.test.com二级域名接入cf saas优选，访问test.com文章引用的img.test.com图片正常，直接访问img.test.com/hover.png发现waf的防盗链block规则没有生效。

2.因为1的防盗链规则失效，大盘鸡上img.test.com网站开启域名白名单，设置防盗链，访问test.com文章引用的img.test.com图片居然404了。

上面1/2两个问题，麻烦知道的大佬给指导指导。

我理解从test.com->cf的时候是带refer的，cf->server的时候refer丢了

最终节点看看nginx log就知道了

我试试，谢谢