Con una política de encabezados de respuesta de CloudFront, puede especificar los encabezados HTTP que Amazon CloudFront elimina o añade a las respuestas HTTP que envía a los lectores. Para obtener más información sobre las políticas de encabezados de respuesta y los motivos para usarlas, consulte Añadido o eliminación de encabezados HTTP en las respuestas de CloudFront con una política.
CloudFront proporciona políticas de encabezados de respuesta administradas que puede adjuntar a los comportamientos de la caché en sus distribuciones de CloudFront. Con una política de encabezados de respuesta administrada, no necesita escribir ni mantener su propia política. Las políticas administradas contienen conjuntos de encabezados de respuesta HTTP para casos de uso comunes.
Para utilizar una política de encabezados de respuesta administrada, debe adjuntarla a un comportamiento de la caché en la distribución. El proceso es el mismo que cuando crea una política de encabezados de respuesta personalizada. No obstante, en lugar de crear una nueva política, se adjunta una de las políticas administradas. Adjunta la política por nombre (con la consola) o por ID (con AWS CloudFormation, la AWS CLI o los AWS SDK). Los nombres e ID se muestran en la siguiente sección.
Para obtener más información, consulte Creación de políticas de encabezados de respuesta.
En los temas siguientes, se describen las políticas de encabezados de respuesta administradas que puede utilizar.
Temas
CORS-and-SecurityHeadersPolicy
Consulte esta política en la consola de CloudFront
Utilice esta política administrada para permitir simple CORS requests de cualquier origen. Esta política también agrega un conjunto de encabezados de seguridad a todas las respuestas que CloudFront envía a los lectores. Esta política combina las políticas SimpleCORS y SecurityHeadersPolicy en una sola.
Al utilizar AWS CloudFormation, la AWS CLI o la API de CloudFront, el identificador de esta política es:
e61eb60c-9c35-4d20-a928-2b84e02af89c
Nombre del encabezado | Valor del encabezado | ¿Invalidar el origen? | |
---|---|---|---|
Encabezados CORS: | Access-Control-Allow-Origin |
* |
No |
Encabezados de seguridad: | Referrer-Policy |
strict-origin-when-cross-origin |
No |
Strict-Transport-Security |
max-age=31536000 |
No | |
X-Content-Type-Options |
nosniff |
Sí | |
X-Frame-Options |
SAMEORIGIN |
No | |
X-XSS-Protection |
1; mode=block |
No |
CORS-With-Preflight
Consulte esta política en la consola de CloudFront
Utilice esta política administrada para permitir solicitudes de CORS de cualquier origen, incluidas las solicitudes de comprobación previa. Para solicitudes de comprobación previa (mediante el método OPTIONS
HHTP), CloudFront agrega los tres encabezados siguientes a la respuesta. Para solicitudes de CORS sencillas, CloudFront agrega solo el encabezado Access-Control-Allow-Origin
.
Si la respuesta que CloudFront recibe del origen incluye cualquiera de estos encabezados, CloudFront utiliza el encabezado recibido (y su valor) en su respuesta al lector. CloudFront no utiliza el encabezado de esta política.
Al utilizar AWS CloudFormation, la AWS CLI o la API de CloudFront, el identificador de esta política es:
5cc3b908-e619-4b99-88e5-2cf7f45965bd
Nombre del encabezado | Valor del encabezado | ¿Invalidar el origen? | |
---|---|---|---|
Encabezados CORS: | Access-Control-Allow-Methods |
DELETE , GET , HEAD ,
OPTIONS , PATCH , POST ,
PUT |
No |
Access-Control-Allow-Origin |
* |
||
Access-Control-Expose-Headers |
* |
CORS-with-preflight-and-SecurityHeadersPolicy
Consulte esta política en la consola de CloudFront
Utilice esta política administrada para permitir las solicitudes CORS de cualquier origen. Esto incluye las solicitudes previas. Esta política también agrega un conjunto de encabezados de seguridad a todas las respuestas que CloudFront envía a los lectores. Esta política combina las políticas CORS-With-Preflight y SecurityHeadersPolicy en una sola.
Al utilizar AWS CloudFormation, la AWS CLI o la API de CloudFront, el identificador de esta política es:
eaab4381-ed33-4a86-88ca-d9558dc6cd63
Nombre del encabezado | Valor del encabezado | ¿Invalidar el origen? | |
---|---|---|---|
Encabezados CORS: | Access-Control-Allow-Methods |
DELETE , GET , HEAD ,
OPTIONS , PATCH , POST ,
PUT |
No |
Access-Control-Allow-Origin |
* |
||
Access-Control-Expose-Headers |
* |
||
Encabezados de seguridad: | Referrer-Policy |
strict-origin-when-cross-origin |
No |
Strict-Transport-Security |
max-age=31536000 |
No | |
X-Content-Type-Options |
nosniff |
Sí | |
X-Frame-Options |
SAMEORIGIN |
No | |
X-XSS-Protection |
1; mode=block |
No |
SecurityHeadersPolicy
Consulte esta política en la consola de CloudFront
Utilice esta política administrada para agregar un conjunto de encabezados de seguridad a todas las respuestas que CloudFront envía a los lectores. Para obtener más información sobre estos encabezados de seguridad, consulte Mozilla’s web security guidelines
Con esta política de encabezados de respuesta, CloudFront agrega X-Content-Type-Options:
nosniff
a todas las respuestas. Esto sucede cuando la respuesta que CloudFront recibió del origen incluyó este encabezado y cuando no lo hizo. Para todos los demás encabezados en esta política, si la respuesta que CloudFront recibe del origen incluye el encabezado, CloudFront utiliza el encabezado que recibió (y su valor) en su respuesta al lector. No utiliza el encabezado de esta política.
Al utilizar AWS CloudFormation, la AWS CLI o la API de CloudFront, el identificador de esta política es:
67f7725c-6f97-4210-82d7-5512b31e9d03
Nombre del encabezado | Valor del encabezado | ¿Invalidar el origen? | |
---|---|---|---|
Encabezados de seguridad: | Referrer-Policy |
strict-origin-when-cross-origin |
No |
Strict-Transport-Security |
max-age=31536000 |
No | |
X-Content-Type-Options |
nosniff |
Sí | |
X-Frame-Options |
SAMEORIGIN |
No | |
X-XSS-Protection |
1; mode=block |
No |
SimpleCORS
Consulte esta política en la consola de CloudFront
Utilice esta política administrada para permitir simple CORS requestsAccess-Control-Allow-Origin: *
a todas las respuestas para solicitudes de CORS sencillas.
Si la respuesta que CloudFront recibe del origen incluye el encabezado Access-Control-Allow-Origin
, CloudFront utiliza ese encabezado (y su valor) en su respuesta al lector. CloudFront no utiliza el encabezado de esta política.
Al utilizar AWS CloudFormation, la AWS CLI o la API de CloudFront, el identificador de esta política es:
60669652-455b-4ae9-85a4-c4c02393f86c
Nombre del encabezado | Valor del encabezado | ¿Invalidar el origen? | |
---|---|---|---|
Encabezados CORS: | Access-Control-Allow-Origin |
* |
No |