Cors-et- SecurityHeadersPolicy CORS-With-Preflight CORS- - with-preflight-and SecurityHeadersPolicy SecurityHeadersPolicy SimpleCORS

Utiliser des politiques d'en-têtes de réponse gérés

Avec une politique d'en-têtes de CloudFront réponse, vous pouvez spécifier les en-têtes HTTP qu'Amazon CloudFront supprime ou ajoute dans les réponses qu'il envoie aux utilisateurs. Pour plus d'informations sur les politiques d’en-têtes de réponses et sur les raisons de leur utilisation, consultez la section Ajouter ou supprimer des en-têtes HTTP dans les CloudFront réponses avec une politique.

CloudFront fournit des politiques d'en-têtes de réponse gérés que vous pouvez associer aux comportements du cache dans vos CloudFront distributions. Avec une politique d’en-têtes de réponses gérée, vous n'avez pas besoin d'écrire ou de gérer votre propre politique. Les politiques gérées contiennent des ensembles d'en-têtes de réponses HTTP pour les cas d'utilisation courants.

Pour utiliser une politique d’en-têtes de réponses gérée, attachez-la à un comportement de cache dans votre distribution. Le processus est le même que lorsque vous créez une politique d'en-têtes de réponse personnalisée. Toutefois, au lieu de créer une nouvelle politique, vous attachez l'une des politiques gérées. Vous attachez la politique soit par son nom (avec la console), soit par son identifiant (avec AWS CloudFormation AWS CLI, le ou les AWS SDK). Les noms et les identifiants sont répertoriés dans la section suivante.

Pour plus d’informations, consultez Création de politiques relatives aux en-têtes de réponse.

Les rubriques suivantes décrivent les politiques d'en-têtes de réponse gérées que vous pouvez utiliser.

Rubriques

Cors-et- SecurityHeadersPolicy
CORS-With-Preflight
CORS- - with-preflight-and SecurityHeadersPolicy
SecurityHeadersPolicy
SimpleCORS

Cors-et- SecurityHeadersPolicy

Afficher cette politique dans la CloudFront console

Utilisez cette politique gérée pour autoriser les demandes CORS simples de n'importe quelle origine. Cette politique ajoute également un ensemble d'en-têtes de sécurité à toutes les réponses CloudFront envoyées aux spectateurs. Cette politique combine les politiques SimpleCORS et SecurityHeadersPolicy en une seule.

Lors de l'utilisation AWS CloudFormation de l' AWS CLI API ou de l' CloudFront API, l'identifiant de cette politique est le suivant :

e61eb60c-9c35-4d20-a928-2b84e02af89c

Paramètres de politique
	Nom de l'en-tête	Valeur d'en-tête	Remplacer l'origine ?
En-têtes CORS :	`Access-Control-Allow-Origin`	`*`	Non
En-têtes de sécurité :	`Referrer-Policy`	`strict-origin-when-cross-origin`	Non
	`Strict-Transport-Security`	`max-age=31536000`	Non
	`X-Content-Type-Options`	`nosniff`	Oui
	`X-Frame-Options`	`SAMEORIGIN`	Non
	`X-XSS-Protection`	`1; mode=block`	Non

CORS-With-Preflight

Afficher cette politique dans la CloudFront console

Utilisez cette politique gérée pour autoriser les demandes CORS de n'importe quelle origine, y compris les demandes de contrôle en amont. Pour les requêtes de pré-vol (à l'aide de la OPTIONS méthode HTTP), CloudFront ajoute les trois en-têtes suivants à la réponse. Pour les requêtes CORS simples, CloudFront ajoute uniquement l'Access-Control-Allow-Originen-tête.

Si la réponse CloudFront reçue de l'origine inclut l'un de ces en-têtes, CloudFront utilise l'en-tête reçu (et sa valeur) dans sa réponse au spectateur. CloudFrontn'utilise pas l'en-tête dans cette politique.

Lors de l'utilisation AWS CloudFormation de l' AWS CLI API ou de l' CloudFront API, l'identifiant de cette politique est le suivant :

5cc3b908-e619-4b99-88e5-2cf7f45965bd

Paramètres de politique
	Nom de l'en-tête	Valeur d'en-tête	Remplacer l'origine ?
En-têtes CORS :	`Access-Control-Allow-Methods`	`DELETE`, `GET`, `HEAD`, `OPTIONS`, `PATCH`, `POST`, `PUT`	Non
	`Access-Control-Allow-Origin`	`*`
	`Access-Control-Expose-Headers`	`*`

CORS- - with-preflight-and SecurityHeadersPolicy

Afficher cette politique dans la CloudFront console

Utilisez cette politique gérée pour autoriser les demandes CORS de n'importe quelle origine. Cela inclut les demandes de contrôle en amont. Cette politique ajoute également un ensemble d'en-têtes de sécurité à toutes les réponses CloudFront envoyées aux spectateurs. Cette politique combine les politiques CORS-With-Preflight et SecurityHeadersPolicy en une seule.

Lors de l'utilisation AWS CloudFormation de l' AWS CLI API ou de l' CloudFront API, l'identifiant de cette politique est le suivant :

eaab4381-ed33-4a86-88ca-d9558dc6cd63

Paramètres de politique
	Nom de l'en-tête	Valeur d'en-tête	Remplacer l'origine ?
En-têtes CORS :	`Access-Control-Allow-Methods`	`DELETE`, `GET`, `HEAD`, `OPTIONS`, `PATCH`, `POST`, `PUT`	Non
	`Access-Control-Allow-Origin`	`*`
	`Access-Control-Expose-Headers`	`*`
En-têtes de sécurité :	`Referrer-Policy`	`strict-origin-when-cross-origin`	Non
	`Strict-Transport-Security`	`max-age=31536000`	Non
	`X-Content-Type-Options`	`nosniff`	Oui
	`X-Frame-Options`	`SAMEORIGIN`	Non
	`X-XSS-Protection`	`1; mode=block`	Non

SecurityHeadersPolicy

Afficher cette politique dans la CloudFront console

Utilisez cette politique gérée pour ajouter un ensemble d'en-têtes de sécurité à toutes les réponses CloudFront envoyées aux utilisateurs. Pour plus d'informations sur ces en-têtes de sécurité, consultez les recommandations de sécurité web de Mozilla.

Avec cette politique d'en-têtes de réponse, des CloudFront ajouts X-Content-Type-Options: nosniff à toutes les réponses. C'est le cas lorsque la réponse CloudFront reçue de l'origine incluait cet en-tête et lorsque ce n'était pas le cas. Pour tous les autres en-têtes de cette politique, si la réponse CloudFront reçue de l'origine inclut l'en-tête, CloudFront utilise l'en-tête reçu (et sa valeur) dans sa réponse au spectateur. Il n'utilise pas l'en-tête de cette politique.

Lors de l'utilisation AWS CloudFormation de l' AWS CLI API ou de l' CloudFront API, l'identifiant de cette politique est le suivant :

67f7725c-6f97-4210-82d7-5512b31e9d03

Paramètres de politique
	Nom de l'en-tête	Valeur d'en-tête	Remplacer l'origine ?
En-têtes de sécurité :	`Referrer-Policy`	`strict-origin-when-cross-origin`	Non
	`Strict-Transport-Security`	`max-age=31536000`	Non
	`X-Content-Type-Options`	`nosniff`	Oui
	`X-Frame-Options`	`SAMEORIGIN`	Non
	`X-XSS-Protection`	`1; mode=block`	Non

SimpleCORS

Afficher cette politique dans la CloudFront console

Utilisez cette politique gérée pour autoriser les demandes CORS simples de n'importe quelle origine. Avec cette politique, CloudFront ajoute l'en-tête Access-Control-Allow-Origin: * à toutes les réponses pour les requêtes CORS simples.

Si la réponse CloudFront reçue de l'origine inclut l'Access-Control-Allow-Originen-tête, CloudFront utilise cet en-tête (et sa valeur) dans sa réponse au spectateur. CloudFront n'utilise pas l'en-tête dans cette politique.

Lors de l'utilisation AWS CloudFormation de l' AWS CLI API ou de l' CloudFront API, l'identifiant de cette politique est le suivant :

60669652-455b-4ae9-85a4-c4c02393f86c

Paramètres de politique
	Nom de l'en-tête	Valeur d'en-tête	Remplacer l'origine ?
En-têtes CORS :	`Access-Control-Allow-Origin`	`*`	Non

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Création de politiques relatives aux en-têtes de réponse

Comportement des demandes et des réponses