Como adiciono cabeçalhos de segurança HTTP às respostas do CloudFront?

Breve descrição

Os cabeçalhos de segurança HTTP melhoram a privacidade e a segurança de uma aplicação Web e o protegem contra vulnerabilidades no lado do cliente. Os cabeçalhos de segurança HTTP mais comuns são:

• Política do referenciador
• Segurança de transporte estrita (HSTS)
• Política de segurança de conteúdo (CSP)
• Opções de tipo de conteúdo X
• Opções do X-Frame
• Proteção X-XSS

As políticas de cabeçalho de resposta do CloudFront permitem que você adicione um ou mais cabeçalhos de segurança HTTP a uma resposta do CloudFront.

Resolução

Você pode usar a política de resposta gerenciada de cabeçalhos de segurança que inclui valores predefinidos para os cabeçalhos de segurança HTTP mais comuns. Ou você pode criar uma política de cabeçalho de resposta personalizada com cabeçalhos e valores de segurança personalizados que podem ser adicionados ao comportamento necessário do CloudFront.

Crie uma política de cabeçalhos de resposta personalizada no console da AWS

1. Abra o console do CloudFront.
2. No menu de navegação, escolha Policies. (Políticas) Em seguida, escolha Response headers (Cabeçalhos de resposta).
3. Escolha Create response headers policy (Criar política de cabeçalhos de resposta).
4. Em Security headers (Cabeçalhos de segurança), selecione cada um dos cabeçalhos de segurança que você deseja adicionar à política. Adicione ou selecione os valores necessários para cada cabeçalho.
5. Em Custom headers (Cabeçalhos personalizados), adicione os cabeçalhos e valores de segurança personalizados que você deseja que o CloudFront adicione às respostas.
6. Preencha outros campos conforme necessário. Selecione Create (Criar).

Anexar política de cabeçalhos de resposta a um comportamento de cache

Depois de criar uma política de cabeçalhos de resposta, anexe-a a um comportamento de cache em uma distribuição do CloudFront. Para anexar uma política de resposta de cabeçalhos de segurança gerenciada ou personalizada a uma distribuição existente do CloudFront:

1. Abra o console do CloudFront.
2. Escolha a distribuição que você deseja atualizar.
3. Na guia Behaviors (Comportamentos), selecione o comportamento de cache que você deseja modificar. Em seguida, escolha Edit (Editar).
4. Para Response headers policy (Política de cabeçalhos de resposta), escolha SecurityHeadersPolicy ou escolha a política personalizada que você criou.
5. Escolha Save changes (Salvar alterações).

Veja a seguir um exemplo de resposta do CloudFront com cabeçalhos de resposta de segurança HTTP:

curl -I https://dxxxxxxxbai33q.cloudfront.net

HTTP/2 200

content-type: text/html

content-length: 9850

vary: Accept-Encoding

date: xxxxxxxxx

last-modified: xxxxxxx

etag: "c59c5ef71f3350489xxxxxxxxxx"

x-amz-server-side-encryption: AES256

cache-control: no-store, no-cache, private

x-amz-version-id: null

accept-ranges: bytes

server: AmazonS3

x-xss-protection: 1; mode=block

x-frame-options: SAMEORIGIN

referrer-policy: strict-origin-when-cross-origin

x-content-type-options: nosniff

strict-transport-security: max-age=31536000

x-cache: Miss from cloudfront

via: 1.1 12142717248e0e7148a5c1a9151ab918.cloudfront.net (CloudFront)

x-amz-cf-pop: BOS50-C3

x-amz-cf-id: nHNANTZYdkQkE5BmsqlisPTiodFhVCK-Sf9Zp4iJzNs04eWi1_hEig==