使用標準政策設定已簽章的 Cookie

若要使用標準政策設定已簽章的 Cookie，請完成以下步驟。若要建立簽章，請參閱為使用標準政策的已簽章 Cookie 建立簽章。

使用標準政策設定已簽章的 Cookie

如果您使用 .NET 或 Java 建立已簽章的 Cookie，而且尚未將金鑰對的私有金鑰從預設的 .pem 格式重新格式化為與 .NET 或 Java 相容的格式，請現在執行此操作。如需詳細資訊，請參閱重新格式化私有金鑰（僅限 .NET 和 Java)。
請編寫您的應用程式以發送三個 Set-Cookie 標頭給已核准的瀏覽者。您需要三個 Set-Cookie 標頭，因為每個 Set-Cookie 標頭只能包含一個名稱值組，而 CloudFront 已簽署的 Cookie 需要三個名稱值組。名稱值組是：CloudFront-Expires、CloudFront-Signature 和 CloudFront-Key-Pair-Id。在使用者對要控制存取的檔案發出第一次請求之前，這些值必須出現在檢視器。

注意
一般而言，建議您排除 Expires 和 Max-Age 屬性。排除這些屬性會導致瀏覽器在使用者關閉瀏覽器時刪除 Cookie，從而降低有人未經授權存取您的內容的可能性。如需詳細資訊，請參閱防止濫用已簽章的 Cookie。

Cookie 屬性的名稱區分大小寫。

只包含分行符號，以使屬性更易讀。
```
Set-Cookie: 
CloudFront-Expires=date and time in Unix time format (in seconds) and Coordinated Universal Time (UTC); 
Domain=optional domain name; 
Path=/optional directory path; 
Secure; 
HttpOnly

Set-Cookie: 
CloudFront-Signature=hashed and signed version of the policy statement; 
Domain=optional domain name; 
Path=/optional directory path; 
Secure; 
HttpOnly

Set-Cookie: 
CloudFront-Key-Pair-Id=public key ID for the CloudFront public key whose corresponding private key you're using to generate the signature; 
Domain=optional domain name; 
Path=/optional directory path; 
Secure; 
HttpOnly
```
(選用) Domain

請求檔案的網域名稱。如果不指定 Domain 屬性，則預設值是 URL 中的網域名稱，並且它僅適用於指定的網域名稱，而不適用於子網域名稱。如果指定 Domain 屬性，它也適用於子網域名稱。網域名稱中的前導點 (例如 Domain=.example.com) 是可選的。此外，如果指定 Domain 屬性，則 URL 中的網域名稱和 Domain 屬性的值必須相符。

您可以指定 CloudFront 指派給您的分佈的網域名稱，例如，d111111abcdef8.cloudfront.net，但不能為網域名稱指定 *.cloudfront.net。

如果要在 URL 中使用備用網域名稱 (如 example.com)，則無論您是否指定了 Domain 屬性，都必須將備用網域名稱新增到分佈中。如需詳細資訊，請參閱所有分佈設定參考主題中的備用網域名稱 (CNAME)。

(選用) Path

請求檔案的路徑。如果未指定 Path 屬性，則預設值為 URL 中的路徑。

Secure

在檢視器傳送請求之前，需要對 Cookie 進行加密。我們建議您透過 HTTPS 連線發送 Set-Cookie 標頭，以確保 Cookie 屬性免受中間人攻擊。

HttpOnly

定義瀏覽器（在支援的情況下）如何與 Cookie 值互動。透過 HttpOnly，JavaScript 無法存取 Cookie 值。此預防措施有助於緩解跨網站指令碼 (XSS) 攻擊。如需詳細資訊，請參閱使用 HTTP Cookie。

CloudFront-Expires

以 Unix 時間格式 (以秒為單位) 和國際標準時間 (UTC) 指定過期日期和時間。例如，2026 年 1 月 1 日上午 10：00 UTC 會以 Unix 時間格式轉換為 1767290400。

若要使用 epoch 時間，請為不晚於的日期指定 64 位元整數 9223372036854775807(2262 年 4 月 11 日星期五 23：47：16.854 UTC)。

如需世界協調時間的詳細資訊，請參閱 RFC 3339、網際網路上的日期和時間：時間戳記，https://tools.ietf.org/html/rfc3339。

CloudFront-Signature

JSON 政策聲明的雜湊、簽章和 base64-encoded 版本。如需詳細資訊，請參閱為使用標準政策的已簽章 Cookie 建立簽章。

CloudFront-Key-Pair-Id

CloudFront 公有金鑰的 ID，例如 K2JCJMDEHXQW5F。公有金鑰 ID 會告訴 CloudFront 要使用哪個公有金鑰來驗證已簽署的 URL。CloudFront 將簽章中的資訊與政策聲明中的資訊進行比較，以驗證該 URL 尚未遭到篡改。

此公有金鑰必須屬於分佈中信任的簽署者金鑰群組。如需詳細資訊，請參閱指定可以建立已簽署 URLs簽署者。

以下範例顯示當您使用與檔案的 URL 中的分佈關聯的網域名稱時，一個已簽章的 Cookie 的 Set-Cookie 標頭：


Set-Cookie: CloudFront-Expires=1426500000; Domain=d111111abcdef8.cloudfront.net; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Signature=yXrSIgyQoeE4FBI4eMKF6ho~CA8_; Domain=d111111abcdef8.cloudfront.net; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Key-Pair-Id=K2JCJMDEHXQW5F; Domain=d111111abcdef8.cloudfront.net; Path=/images/*; Secure; HttpOnly

以下範例顯示當您在檔案的 URL 中使用備用網域名稱 example.org 時，一個已簽章的 Cookie 的 Set-Cookie 標頭：


Set-Cookie: CloudFront-Expires=1426500000; Domain=example.org; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Signature=yXrSIgyQoeE4FBI4eMKF6ho~CA8_; Domain=example.org; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Key-Pair-Id=K2JCJMDEHXQW5F; Domain=example.org; Path=/images/*; Secure; HttpOnly

如果要在 URL 中使用備用網域名稱 (如 example.com)，則無論您是否指定了 Domain 屬性，都必須將備用網域名稱新增到分佈中。如需詳細資訊，請參閱所有分佈設定參考主題中的備用網域名稱 (CNAME)。

為使用標準政策的已簽章 Cookie 建立簽章

若要為使用標準政策的已簽章 Cookie 建立簽章，請完成下列程序。

為使用標準政策的已簽章 Cookie 建立政策陳述式

當您設定使用標準政策的簽章 Cookie 時，該 CloudFront-Signature 屬性是政策聲明的雜湊及已簽章的版本。對於使用標準政策的已簽章的 Cookie，您不會將政策聲明包括在 Set-Cookie 標頭中，就像使用自訂政策的已簽章的 Cookie 一樣。若要建立政策陳述式，請完成下列步驟。

為使用標準政策的已簽章的 Cookie 建立政策聲明

建構政策聲明，使用下列 JSON 格式，並使用 UTF-8 字元編碼。完全按照規定包含所有標點符號和其他常值。如需有關 Resource 和 DateLessThan 參數的詳細資訊，請參閱您在政策陳述式中為已簽署 Cookie 標準政策所指定的值。


{
    "Statement": [
        {
            "Resource": "base URL or stream name",
            "Condition": {
                "DateLessThan": {
                    "AWS:EpochTime": ending date and time in Unix time format and UTC
                }
            }
        }
    ]
}

從政策陳述式中移除所有空格（包括標籤和換行字元）。您可能必須在應用程式的程式碼的字串中包含逸出字元。

您在政策陳述式中為已簽署 Cookie 標準政策所指定的值

當您為標準政策建立政策聲明時，您可以指定以下值：

資源

包含查詢字串的基本 URL (如果有)，例如：

https://d111111abcdef8.cloudfront.net/images/horizon.jpg?size=large&license=yes

您只能為 Resource 指定一個值。

注意下列事項：

通訊協定 – 此值必須以 http:// 或 https:// 開頭。
查詢字串參數 – 如果沒有查詢字串參數，請省略問號。
替代網域名稱 – 如果在 URL 中指定了替代網域名稱 (CNAME)，則在引用網頁或應用程式中的檔案時，必須指定替代網域名稱。請勿為檔案指定 Amazon S3 URL。

DateLessThan

Unix 時間格式 (以秒為單位) 和國際標準時間 (UTC) 的 URL 的到期日期和時間。不要將值括在引號中。

例如，2015 年 3 月 16 日上午 10:00 UTC 以 Unix 時間格式轉換為 1426500000。

這個值必須符合 CloudFront-Expires 標頭中 Set-Cookie 屬性的值。不要將值括在引號中。

如需詳細資訊，請參閱當 CloudFront 檢查已簽章 Cookie 中的過期日期和時間時。

標準政策的範例政策陳述式

當您在已簽章的 Cookie 中使用以下範例政策聲明時，使用者在到 UTC 2015 年 3 月 16 日上午 10:00 之前可以存取檔案 https://d111111abcdef8.cloudfront.net/horizon.jpg：


{
    "Statement": [
        {
            "Resource": "https://d111111abcdef8.cloudfront.net/horizon.jpg?size=large&license=yes",
            "Condition": {
                "DateLessThan": {
                    "AWS:EpochTime": 1426500000
                }
            }
        }
    ]
}

簽署政策陳述式，為使用標準政策的已簽章 Cookie 建立簽章

要為 CloudFront-Signature 標頭中的 Set-Cookie 屬性建立值，請對您在為使用標準政策的已簽章的 Cookie 建立政策聲明中建立的政策聲明進行雜湊和簽署。

如需有關如何對政策聲明進行雜湊、簽章和編碼的詳細資訊和範例，請參閱以下主題：

使用標準政策為已簽章的 Cookie 建立簽章

使用 SHA-1 雜湊函數和 RSA 對您在為使用標準政策的已簽章的 Cookie 建立政策聲明程序中建立的政策聲明進行雜湊和簽署。使用不再包含空格的政策陳述式版本。

對於雜湊函數所需的私有金鑰，使用其公有金鑰在活動的信任金鑰組中的私有金鑰進行分佈。

注意
用於雜湊和簽名政策聲明的方法取決於您的程式設計語言和平台。如需程式碼範例，請參閱為已簽署 URL 建立簽章的程式碼範例。
從雜湊和簽章字串中移除空格（包括標籤和換行字元）。
使用 MIME base64 編碼的 Base64-encode 字串。如需詳細資訊，請參閱 RFC 2045，MIME (多用途網際網路郵件延伸) 第一部分：網際網路訊息內文的格式中的第 6.8 節：Base64 Content-Transfer-Encoding。

將 URL 查詢字串中無效的字元替換為有效的字元。下表列出無效和有效的字元。

取代這些無效的字元	有了這些有效的字元
+	- (連字號)
=	_ (底線)
/	~ (波狀符號)

將結果值包含在 Set-Cookie 名稱值組的 CloudFront-Signature 標頭中。然後返回到使用標準政策設定已簽章的 Cookie 為 Set-Cookie 新增 CloudFront-Key-Pair-Id 標頭。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

使用已簽章的 Cookie

使用自訂政策設定已簽章的 Cookie