¿Cómo agrego encabezados de seguridad HTTP a las respuestas de CloudFront?

Descripción corta

Los encabezados de seguridad HTTP mejoran la privacidad y la seguridad de una aplicación web y la protegen de las vulnerabilidades del lado del cliente. Los encabezados de seguridad HTTP más comunes son:

• Referrer Policy (Política de referencia)
• Strict Transport Security (HSTS) (Seguridad de transporte estricta [HSTS])
• Content Security Policy (Política de seguridad de contenido [CSP])
• X-Content-Type-Options (Opciones de tipo de contenido X)
• X-Frame-Options (Opciones de marco X)
• X-XSS-Protection (Protección X-XSS)

Las políticas de encabezado de respuesta de CloudFront le permiten agregar uno o más encabezados de seguridad HTTP a una respuesta de CloudFront.

Resolución

Puede utilizar la política de respuesta de encabezados de seguridad administrados que incluye valores predefinidos para los encabezados de seguridad HTTP más comunes. O bien, puede crear una política de encabezado de respuesta personalizada con valores y encabezados de seguridad personalizados que se pueden agregar al comportamiento de CloudFront requerido.

Crear una política de encabezados de respuesta personalizada en la consola de AWS

1. Abra la consola de CloudFront.
2. En el menú de navegación, seleccione Policies (Políticas). Luego, seleccione Response headers (Encabezados de respuesta).
3. Seleccione Create response headers policy (Crear política de encabezados de respuesta).
4. En Security headers (Encabezados de seguridad), seleccione cada uno de los encabezados de seguridad que quiera agregar a la política. Agregue o seleccione los valores necesarios para cada encabezado.
5. En Custom headers (Encabezados personalizados), agregue los valores y encabezados de seguridad personalizados que quiere que CloudFront agregue a las respuestas.
6. Complete otros campos según sea necesario. Seleccione Create (Crear).

Adjuntar la política de encabezados de respuesta a un comportamiento de la caché

Después de crear una política de encabezados de respuesta, adjúntela a un comportamiento de la caché en una distribución de CloudFront. Para adjuntar una política de respuesta de encabezados de seguridad administrada o personalizada a una distribución de CloudFront existente haga lo siguiente:

1. Abra la consola de CloudFront.
2. Seleccione la distribución que quiere actualizar.
3. En la pestaña Behaviors (Comportamientos), seleccione el comportamiento de la caché que quiere modificar. Luego, seleccione Edit (Editar).
4. En Response headers policy (Política de encabezados de respuesta), seleccione SecurityHeadersPolicy o bien, la política personalizada que creó.
5. Seleccione Save changes (Guardar cambios).

El siguiente es un ejemplo de respuesta de CloudFront con encabezados de respuesta de seguridad HTTP:

curl -I https://dxxxxxxxbai33q.cloudfront.net

HTTP/2 200

content-type: text/html

content-length: 9850

vary: Accept-Encoding

date: xxxxxxxxx

last-modified: xxxxxxx

etag: "c59c5ef71f3350489xxxxxxxxxx"

x-amz-server-side-encryption: AES256

cache-control: no-store, no-cache, private

x-amz-version-id: null

accept-ranges: bytes

server: AmazonS3

x-xss-protection: 1; mode=block

x-frame-options: SAMEORIGIN

referrer-policy: strict-origin-when-cross-origin

x-content-type-options: nosniff

strict-transport-security: max-age=31536000

x-cache: Miss from cloudfront

via: 1.1 12142717248e0e7148a5c1a9151ab918.cloudfront.net (CloudFront)

x-amz-cf-pop: BOS50-C3

x-amz-cf-id: nHNANTZYdkQkE5BmsqlisPTiodFhVCK-Sf9Zp4iJzNs04eWi1_hEig==