Uso das políticas de cabeçalhos de resposta gerenciadas - Amazon CloudFront

Uso das políticas de cabeçalhos de resposta gerenciadas

Com uma política de cabeçalhos de resposta do CloudFront, você pode especificar os cabeçalhos de HTTP que o Amazon CloudFront adiciona às respostas enviadas aos visualizadores. Para obter mais informações sobre políticas de cabeçalhos de respostas e por que usá-las, consulte Adição de cabeçalhos de HTTP às respostas do CloudFront.

O CloudFront fornece políticas de cabeçalhos de resposta gerenciadas que você pode anexar a comportamentos de cache nas distribuições do CloudFront. Com uma política de cabeçalhos de resposta gerenciada, você não precisa gravar ou manter sua própria política. As políticas gerenciadas contêm conjuntos de cabeçalhos de resposta de HTTP para casos de uso comuns.

Anexação de cabeçalhos de resposta gerenciados

Para usar uma política de cabeçalhos de resposta gerenciada, anexe-a a um comportamento de cache em sua distribuição. O processo é o mesmo que o de criação de uma política de cabeçalhos de resposta personalizados, mas em vez de criar uma nova, basta anexar uma das políticas gerenciadas. Você anexa a política por nome (com o console) ou por ID (com o AWS CloudFormation, a AWS CLI ou os SDKs da AWS). Os nomes e IDs são listados na seção a seguir.

Para obter mais informações, consulte . Criação de políticas de cabeçalhos de resposta.

Políticas de cabeçalho de resposta gerenciadas disponíveis

Os tópicos a seguir descrevem as políticas de cabeçalhos de resposta gerenciadas que você pode usar.

O CORS permite todas as origens

Use essa política gerenciada para permitir solicitações simples de CORS de qualquer origem. Com essa política, o CloudFront adiciona o cabeçalho Access-Control-Allow-Origin: * a todas as respostas para solicitações simples de CORS.

Se a resposta que o CloudFront receber da origem incluir o cabeçalho Access-Control-Allow-Origin, o CloudFront usará esse cabeçalho (e seu valor) em sua resposta ao visualizador, em vez do cabeçalho desta política.

Nome da política: SimpleCORS

ID da política: 60669652-455b-4ae9-85a4-c4c02393f86c

Configurações de política
Nome do cabeçalho Valor de cabeçalho Substituir origem?
Cabeçalhos de CORS: Access-Control-Allow-Origin * Não

Você também pode exibir essa política no console do CloudFront.

O CORS permite todas as origens com comprovação

Use essa política gerenciada para permitir solicitações de CORS de qualquer origem, incluindo solicitações de comprovação. Para solicitações de comprovação (usando o método OPTIONS de HTTP), o CloudFront adiciona todos os três cabeçalhos a seguir à resposta. Para solicitações simples de CORS, o CloudFront adiciona apenas o cabeçalho Access-Control-Allow-Origin.

Se a resposta que o CloudFront receber da origem incluir algum desses cabeçalhos, o CloudFront usará o cabeçalho recebido (e seu valor) em sua resposta ao visualizador, em vez do cabeçalho desta política.

Nome da política: CORS-With-Preflight

ID da política: 5cc3b908-e619-4b99-88e5-2cf7f45965bd

Configurações de política
Nome do cabeçalho Valor de cabeçalho Substituir origem?
Cabeçalhos de CORS: Access-Control-Allow-Methods DELETE, GET, HEAD, OPTIONS, PATCH, POST, PUT Não
Access-Control-Allow-Origin *
Access-Control-Expose-Headers *

Você também pode exibir essa política no console do CloudFront.

Cabeçalhos de segurança

Use essa política gerenciada para adicionar um conjunto de cabeçalhos de segurança a todas as respostas enviadas pelo CloudFront aos visualizadores. Para obter mais informações sobre esses cabeçalhos de segurança, consulte Diretrizes de segurança na Web do Mozilla.

Com essa política de cabeçalhos de resposta, o CloudFront adiciona X-Content-Type-Options: nosniff a todas as respostas, independentemente de a resposta que o CloudFront recebeu da origem ter incluído esse cabeçalho. Para todos os outros cabeçalhos nesta política, se a resposta que o CloudFront receber da origem incluir algum desses cabeçalhos, o CloudFront usará o cabeçalho recebido (e seu valor) em sua resposta ao visualizador, em vez do cabeçalho desta política.

Nome da política: SecurityHeadersPolicy

ID da política: 67f7725c-6f97-4210-82d7-5512b31e9d03

Configurações de política
Nome do cabeçalho Valor de cabeçalho Substituir origem?
Cabeçalhos de segurança: Referrer-Policy strict-origin-when-cross-origin Não
Strict-Transport-Security max-age=31536000 Não
X-Content-Type-Options nosniff Sim
X-Frame-Options SAMEORIGIN Não
X-XSS-Protection 1; mode=block Não

Você também pode exibir essa política no console do CloudFront.

O CORS permite todas as origens e cabeçalhos de segurança

Use essa política gerenciada para permitir solicitações simples de CORS de qualquer origem e adicionar um conjunto de cabeçalhos de segurança a todas as respostas enviadas pelo CloudFront aos visualizadores. Esta política combina as políticas O CORS permite todas as origens e Cabeçalhos de segurança em uma.

Nome da política: CORS-and-SecurityHeadersPolicy

ID da política: e61eb60c-9c35-4d20-a928-2b84e02af89c

Configurações de política
Nome do cabeçalho Valor de cabeçalho Substituir origem?
Cabeçalhos de CORS: Access-Control-Allow-Origin * Não
Cabeçalhos de segurança: Referrer-Policy strict-origin-when-cross-origin Não
Strict-Transport-Security max-age=31536000 Não
X-Content-Type-Options nosniff Sim
X-Frame-Options SAMEORIGIN Não
X-XSS-Protection 1; mode=block Não

Você também pode exibir essa política no console do CloudFront.

O CORS permite todas as origens com comprovação e cabeçalhos de segurança

Use essa política gerenciada para permitir solicitações de CORS de qualquer origem, incluindo solicitações de comprovação, e adicionar um conjunto de cabeçalhos de segurança a todas as respostas enviadas pelo CloudFront aos visualizadores. Esta política combina as políticas O CORS permite todas as origens com comprovação e Cabeçalhos de segurança em uma.

Nome da política: CORS-with-preflight-and-SecurityHeadersPolicy

ID da política: eaab4381-ed33-4a86-88ca-d9558dc6cd63

Configurações de política
Nome do cabeçalho Valor de cabeçalho Substituir origem?
Cabeçalhos de CORS: Access-Control-Allow-Methods DELETE, GET, HEAD, OPTIONS, PATCH, POST, PUT Não
Access-Control-Allow-Origin *
Access-Control-Expose-Headers *
Cabeçalhos de segurança: Referrer-Policy strict-origin-when-cross-origin Não
Strict-Transport-Security max-age=31536000 Não
X-Content-Type-Options nosniff Sim
X-Frame-Options SAMEORIGIN Não
X-XSS-Protection 1; mode=block Não

Você também pode exibir essa política no console do CloudFront.