Comment ajouter des en-têtes de sécurité HTTP aux réponses CloudFront ?

Brève description

Les en-têtes de sécurité HTTP améliorent la confidentialité et la sécurité d'une application Web et la protègent des vulnérabilités. Consultez la liste suivante pour les en-têtes de sécurité HTTP courants :

• Politique de référent sur le site Web de Mozilla
• HTTP Strict Transport Security (HSTS) sur le site Web de Mozilla
• Politique de sécurité du contenu (CSP) sur le site Web de Mozilla
• X-Content-Type-Options sur le site Web de Mozilla
• X-Frame-Options sur le site Web de Mozilla
• X-XSS-Protection sur le site Web de Mozilla

Les politiques d'en-tête de réponse de CloudFront vous permettent d'ajouter un ou plusieurs en-têtes de sécurité HTTP à une réponse à partir de CloudFront.

Résolution

Vous pouvez utiliser des politiques d'en-têtes de réponse gérées qui incluent des valeurs prédéfinies pour les en-têtes de sécurité HTTP les plus courants. Vous pouvez également créer une politique d'en-tête de réponse personnalisée avec des en-têtes et des valeurs de sécurité personnalisés que vous pouvez ajouter au comportement de CloudFront souhaité.

Associer une politique d'en-têtes de réponse à un comportement de mise en cache

Après avoir créé une politique d'en-têtes de réponse, associez-la à un comportement de mise en cache dans une distribution CloudFront. Pour associer une politique gérée ou personnalisée de réponse aux en-têtes de sécurité à une distribution CloudFront existante, procédez comme suit :

1. Ouvrez la console CloudFront.
2. Choisissez la distribution à mettre à jour.
3. Dans l'onglet Comportements, sélectionnez le comportement de mise en cache que vous souhaitez modifier. Puis, cliquez sur Modifier.
4. Dans Politique d’en-têtes de réponse, choisissez SecurityHeadersPolicy. Vous pouvez également choisir la politique personnalisée que vous avez créée.
5. Sélectionnez Enregistrer les modifications.

Consultez l’exemple suivant de réponse CloudFront avec des en-têtes de réponse de sécurité HTTP :

curl -I https://dxxxxxxxbai33q.cloudfront.net
HTTP/2 200

content-type: text/html

content-length: 9850

vary: Accept-Encoding

date: xxxxxxxxx

last-modified: xxxxxxx

etag: "c59c5ef71f3350489xxxxxxxxxx"

x-amz-server-side-encryption: AES256

cache-control: no-store, no-cache, private

x-amz-version-id: null

accept-ranges: bytes

server: AmazonS3

x-xss-protection: 1; mode=block

x-frame-options: SAMEORIGIN

referrer-policy: strict-origin-when-cross-origin

x-content-type-options: nosniff

strict-transport-security: max-age=31536000

x-cache: Miss from cloudfront

via: 1.1 12142717248e0e7148a5c1a9151ab918.cloudfront.net (CloudFront)

x-amz-cf-pop: BOS50-C3

x-amz-cf-id: nHNANTZYdkQkE5BmsqlisPTiodFhVCK-Sf9Zp4iJzNs04eWi1_hEig==

Créer une politique d'en-têtes de réponse personnalisée à partir de la console CloudFront

1. Ouvrez la console CloudFront.
2. Dans le menu de navigation, choisissez Stratégies. Puis, choisissez En-têtes de réponse.
3. Choisissez Créer une politique d’en-têtes de réponse.
4. Sous En-têtes de sécurité, sélectionnez chacun des en-têtes de sécurité que vous souhaitez ajouter à la politique. Ajoutez ou sélectionnez les valeurs souhaitées pour chaque en-tête.
5. Sous En-têtes personnalisés, ajoutez les en-têtes de sécurité personnalisés et les valeurs que CloudFront doit ajouter aux réponses.
6. Renseignez les autres champs si nécessaire. Puis, sélectionnez Créer.