使用受管回應標頭原則

使用回 CloudFront 應標頭政策，您可以指定 Amazon 在傳送給檢視者的回應中 CloudFront移除或新增的 HTTP 標頭。如需回應標頭政策及其使用原因的詳細資訊，請參閱使用政策在 CloudFront回應中新增或移除 HTTP 標頭。

CloudFront 提供受管回應標頭原則，您可以將這些原則附加至發行 CloudFront 版中的快取行為。使用受管回應標頭政策，您不需要撰寫或維護自己的政策。受管政策包含適用於常見使用案例的 HTTP 回應標頭集。

若要使用受管回應標頭政策，請將其連接至分佈中的快取行為。這項程序與建立自訂回應標頭政策的程序相同，只不過您並不會建立新政策，而是連接其中一項受管政策。您可以依名稱 (使用主控台) 或 ID (使用 AWS CloudFormation AWS CLI、或 AWS SDK) 附加原則。名稱和 ID 會列在下一節中。

如需詳細資訊，請參閱 建立回應標頭政策。

下列主題說明您可以使用的受管回應標頭政策。

科斯和-SecurityHeadersPolicy

在 CloudFront 主控台中檢視此原則

使用此受管政策允許來自任何原始伺服器的簡單 CORS 請求。此原則也會在 CloudFront 傳送給檢視者的所有回覆中新增一組安全性標頭。這項政策將 SimpleCORS 和 SecurityHeadersPolicy 政策結合為一個政策。

使用 AWS CloudFormation AWS CLI、或 CloudFront API 時，此原則的識別碼為：

e61eb60c-9c35-4d20-a928-2b84e02af89c

政策設定
	標頭名稱	標頭值	是否覆寫原始伺服器？
CORS 標頭：	Access-Control-Allow-Origin	*	否
安全性標頭：	Referrer-Policy	strict-origin-when-cross-origin	否
	Strict-Transport-Security	max-age=31536000	否
	X-Content-Type-Options	nosniff	是
	X-Frame-Options	SAMEORIGIN	否
	X-XSS-Protection	1; mode=block	否

CORS-With-Preflight

在 CloudFront 主控台中檢視此原則

使用此受管政策可允許來自任何原始伺服器的 CORS 請求，包括預檢請求。針對預檢要求 (使用 HTTP 方OPTIONS法)，會 CloudFront 將下列所有三個標頭新增至回應。對於簡單的 CORS 請求，只 CloudFront 添加標Access-Control-Allow-Origin頭。

如果從原點 CloudFront 接收的響應包含任何這些標頭，則在對查看器的響應中 CloudFront 使用接收的頭（及其值）。 CloudFront不使用此原則中的標頭。

使用 AWS CloudFormation AWS CLI、或 CloudFront API 時，此原則的識別碼為：

5cc3b908-e619-4b99-88e5-2cf7f45965bd

政策設定
	標頭名稱	標頭值	是否覆寫原始伺服器？
CORS 標頭：	Access-Control-Allow-Methods	DELETE, GET, HEAD, OPTIONS, PATCH, POST, PUT	否
	Access-Control-Allow-Origin	*
	Access-Control-Expose-Headers	*

科斯-with-preflight-and SecurityHeadersPolicy

在 CloudFront 主控台中檢視此原則

使用此受管政策可允許來自任何原始伺服器的 CORS 請求，包含預檢請求。此原則也會在 CloudFront 傳送給檢視者的所有回覆中新增一組安全性標頭。這項政策將 CORS-With-Preflight 和 SecurityHeadersPolicy 政策結合為一個政策。

使用 AWS CloudFormation AWS CLI、或 CloudFront API 時，此原則的識別碼為：

eaab4381-ed33-4a86-88ca-d9558dc6cd63

政策設定
	標頭名稱	標頭值	是否覆寫原始伺服器？
CORS 標頭：	Access-Control-Allow-Methods	DELETE, GET, HEAD, OPTIONS, PATCH, POST, PUT	否
	Access-Control-Allow-Origin	*
	Access-Control-Expose-Headers	*
安全性標頭：	Referrer-Policy	strict-origin-when-cross-origin	否
	Strict-Transport-Security	max-age=31536000	否
	X-Content-Type-Options	nosniff	是
	X-Frame-Options	SAMEORIGIN	否
	X-XSS-Protection	1; mode=block	否

SecurityHeadersPolicy

在 CloudFront 主控台中檢視此原則

使用此受管理原則可將一組安全性標頭新增至 CloudFront 傳送給檢視者的所有回應。如需這些安全性標頭的詳細資訊，請參閱 Mozilla 的 Web 安全指南。

使用此響應標頭策略， CloudFront 添加X-Content-Type-Options: nosniff到所有響應。從來源 CloudFront收到的響應包含此頭文件以及未包含此標題時，就是這種情況。針對此原則中的所有其他標頭，如果從來源 CloudFront 接收的回應包含標頭，則會在回應檢視器時 CloudFront 使用接收到的標頭 (及其值)。而不是此政策中的標頭。

使用 AWS CloudFormation AWS CLI、或 CloudFront API 時，此原則的識別碼為：

67f7725c-6f97-4210-82d7-5512b31e9d03

政策設定
	標頭名稱	標頭值	是否覆寫原始伺服器？
安全性標頭：	Referrer-Policy	strict-origin-when-cross-origin	否
	Strict-Transport-Security	max-age=31536000	否
	X-Content-Type-Options	nosniff	是
	X-Frame-Options	SAMEORIGIN	否
	X-XSS-Protection	1; mode=block	否

SimpleCORS

在 CloudFront 主控台中檢視此原則

使用此受管政策允許來自任何原始伺服器的簡單 CORS 請求。使用此原則， CloudFront 將標頭新增Access-Control-Allow-Origin: *至簡單 CORS 要求的所有回應。

如果從原點 CloudFront 接收到的響應包含標Access-Control-Allow-Origin題，則在對查看器的響應中 CloudFront 使用該標頭（及其值）。 CloudFront 不使用此原則中的標頭。

使用 AWS CloudFormation AWS CLI、或 CloudFront API 時，此原則的識別碼為：

60669652-455b-4ae9-85a4-c4c02393f86c

政策設定
	標頭名稱	標頭值	是否覆寫原始伺服器？
CORS 標頭：	Access-Control-Allow-Origin	*	否