如何將 HTTP 安全標頭新增至 CloudFront 回應？

簡短描述

HTTP 安全標頭提高了 Web 應用程式的隱私和安全性，並保護其免受漏洞攻擊。請參閱以下常見 HTTP 安全標頭清單：

• Mozilla 網站上的參考者政策
• Mozilla 網站上的 HTTP 嚴格傳輸安全性 (HSTS)
• Mozilla 網站上的內容安全政策 (CSP)
• Mozilla 網站上的 X-Content-Type-Options
• Mozilla 網站上的 X-Frame-Options
• Mozilla 網站上的 X-XSS-Protection

CloudFront 回應標頭政策能讓您將一個或多個 HTTP 安全標頭新增至 CloudFront 回應。

解決方法

您可以使用受管回應標頭政策，其中包含最常見 HTTP 安全標頭的預先定義值。或者，您可以建立自訂回應標頭政策，其中包含可新增至所需 CloudFront 行為的自訂安全標頭和值。

將回應標頭政策附加到快取行為

建立回應標頭政策後，將其附加到 CloudFront 發行項目中的快取行為。若要將受管或自訂安全標頭回應政策附加到現有的 CloudFront 發行項目，請完成以下步驟：

1. 開啟 CloudFront console (CloudFront 主控台)。
2. 選擇您想要更新的發行項目。
3. 在 Behaviors (行為) 索引標籤下，選取要修改的快取行為。然後，選擇 Edit (編輯)。
4. 在 Response headers policy (回應標頭政策)，選擇 SecurityHeadersPolicy。或者，選擇您建立的自訂政策。
5. 選擇 Save changes (儲存變更)。

請參閱以下帶有 HTTP 安全回應標頭的 CloudFront 回應範例：

curl -I https://dxxxxxxxbai33q.cloudfront.net
HTTP/2 200

content-type: text/html

content-length: 9850

vary: Accept-Encoding

date: xxxxxxxxx

last-modified: xxxxxxx

etag: "c59c5ef71f3350489xxxxxxxxxx"

x-amz-server-side-encryption: AES256

cache-control: no-store, no-cache, private

x-amz-version-id: null

accept-ranges: bytes

server: AmazonS3

x-xss-protection: 1; mode=block

x-frame-options: SAMEORIGIN

referrer-policy: strict-origin-when-cross-origin

x-content-type-options: nosniff

strict-transport-security: max-age=31536000

x-cache: Miss from cloudfront

via: 1.1 12142717248e0e7148a5c1a9151ab918.cloudfront.net (CloudFront)

x-amz-cf-pop: BOS50-C3

x-amz-cf-id: nHNANTZYdkQkE5BmsqlisPTiodFhVCK-Sf9Zp4iJzNs04eWi1_hEig==

從 CloudFront 主控台建立自訂回應標頭政策

1. 開啟 CloudFront console (CloudFront 主控台)。
2. 從導覽功能表中，請選擇 **政策。**然後，選擇 Response headers (回應標頭)。
3. 選擇 Create response headers policy (建立回應標頭政策)。
4. 在 Security headers (安全標頭) 下，選取您想要新增至政策的每個安全標頭。新增或選取每個標頭所需的值。
5. 在 Custom headers (自訂標頭) 下，新增您希望 CloudFront 新增至回應中的自訂安全標頭和值。
6. 請填寫其他必要欄位。然後，選取 Create (建立)。