使用受管回應標頭政策

使用回 CloudFront 應標頭政策，您可以指定 Amazon 在傳送給檢視者的回應中 CloudFront移除或新增的 HTTP 標頭。如需回應標頭政策及其使用原因的詳細資訊，請參閱在 CloudFront回應中新增或移除 HTTP 標頭。

CloudFront 提供受管回應標頭原則，您可以將這些原則附加至發行 CloudFront 版中的快取行為。使用受管回應標頭政策，您不需要撰寫或維護自己的政策。受管政策包含適用於常見使用案例的 HTTP 回應標頭集。

主題

連接受管回應標頭政策
可用的受管回應標頭政策

連接受管回應標頭政策

若要使用受管回應標頭政策，請將其連接至分佈中的快取行為。這項程序與建立自訂回應標頭政策的程序相同，只不過您並不會建立新政策，而是連接其中一項受管政策。您可以依名稱 (使用主控台) 或 ID (使用 AWS CloudFormation、AWS CLI 或 AWS 開發套件) 連接政策。名稱和 ID 會列在下一節中。

如需詳細資訊，請參閱建立回應標頭政策。

可用的受管回應標頭政策

下列主題說明您可以使用的受管回應標頭政策。

主題

科斯-和-SecurityHeadersPolicy
CORS-With-Preflight
科斯-with-preflight-and SecurityHeadersPolicy
SecurityHeadersPolicy
SimpleCORS

科斯-和-SecurityHeadersPolicy

在 CloudFront 主控台中檢視此原則

使用此受管政策允許來自任何原始伺服器的簡單 CORS 請求。此原則也會在 CloudFront 傳送給檢視者的所有回覆中新增一組安全性標頭。這項政策將 SimpleCORS 和 SecurityHeadersPolicy 政策結合為一個政策。

使用AWS CloudFormationAWS CLI、或 CloudFront API 時，此原則的識別碼為：

e61eb60c-9c35-4d20-a928-2b84e02af89c

政策設定
	標頭名稱	標頭值	是否覆寫原始伺服器？
CORS 標頭：	`Access-Control-Allow-Origin`	`*`	否
安全性標頭：	`Referrer-Policy`	`strict-origin-when-cross-origin`	否
	`Strict-Transport-Security`	`max-age=31536000`	否
	`X-Content-Type-Options`	`nosniff`	是
	`X-Frame-Options`	`SAMEORIGIN`	否
	`X-XSS-Protection`	`1; mode=block`	否

CORS-With-Preflight

在 CloudFront 主控台中檢視此原則

使用此受管政策可允許來自任何原始伺服器的 CORS 請求，包括預檢請求。針對預檢要求 (使用 HTTP 方OPTIONS法)，會 CloudFront 將下列所有三個標頭新增至回應。對於簡單的 CORS 請求，只 CloudFront 添加標Access-Control-Allow-Origin頭。

如果從來源 CloudFront 接收的響應包含任何這些標頭，則在對查看器的響應中 CloudFront 使用接收的頭（及其值）。 CloudFront不使用此原則中的標頭。

使用AWS CloudFormationAWS CLI、或 CloudFront API 時，此原則的識別碼為：

5cc3b908-e619-4b99-88e5-2cf7f45965bd

政策設定
	標頭名稱	標頭值	是否覆寫原始伺服器？
CORS 標頭：	`Access-Control-Allow-Methods`	`DELETE`, `GET`, `HEAD`, `OPTIONS`, `PATCH`, `POST`, `PUT`	否
	`Access-Control-Allow-Origin`	`*`
	`Access-Control-Expose-Headers`	`*`

科斯-with-preflight-and SecurityHeadersPolicy

在 CloudFront 主控台中檢視此原則

使用此受管政策可允許來自任何原始伺服器的 CORS 請求，包含預檢請求。此原則也會在 CloudFront 傳送給檢視者的所有回覆中新增一組安全性標頭。這項政策將 CORS-With-Preflight 和 SecurityHeadersPolicy 政策結合為一個政策。

使用AWS CloudFormationAWS CLI、或 CloudFront API 時，此原則的識別碼為：

eaab4381-ed33-4a86-88ca-d9558dc6cd63

政策設定
	標頭名稱	標頭值	是否覆寫原始伺服器？
CORS 標頭：	`Access-Control-Allow-Methods`	`DELETE`, `GET`, `HEAD`, `OPTIONS`, `PATCH`, `POST`, `PUT`	否
	`Access-Control-Allow-Origin`	`*`
	`Access-Control-Expose-Headers`	`*`
安全性標頭：	`Referrer-Policy`	`strict-origin-when-cross-origin`	否
	`Strict-Transport-Security`	`max-age=31536000`	否
	`X-Content-Type-Options`	`nosniff`	是
	`X-Frame-Options`	`SAMEORIGIN`	否
	`X-XSS-Protection`	`1; mode=block`	否

SecurityHeadersPolicy

在 CloudFront 主控台中檢視此原則

使用此受管理原則可將一組安全性標頭新增至 CloudFront 傳送給檢視者的所有回應。如需這些安全性標頭的詳細資訊，請參閱 Mozilla 的 Web 安全指南。

使用此響應標頭策略， CloudFront 添加X-Content-Type-Options: nosniff到所有響應。從來源 CloudFront收到的響應包含此頭文件以及未包含此標題時，就是這種情況。針對此原則中的所有其他標頭，如果從來源 CloudFront 接收的回應包含標頭，則會在回應檢視器時 CloudFront 使用接收到的標頭 (及其值)。而不是此政策中的標頭。

使用AWS CloudFormationAWS CLI、或 CloudFront API 時，此原則的識別碼為：

67f7725c-6f97-4210-82d7-5512b31e9d03

政策設定
	標頭名稱	標頭值	是否覆寫原始伺服器？
安全性標頭：	`Referrer-Policy`	`strict-origin-when-cross-origin`	否
	`Strict-Transport-Security`	`max-age=31536000`	否
	`X-Content-Type-Options`	`nosniff`	是
	`X-Frame-Options`	`SAMEORIGIN`	否
	`X-XSS-Protection`	`1; mode=block`	否

SimpleCORS

在 CloudFront 主控台中檢視此原則

使用此受管政策允許來自任何原始伺服器的簡單 CORS 請求。使用此原則， CloudFront 將標頭新增Access-Control-Allow-Origin: *至簡單 CORS 要求的所有回應。

如果從原點 CloudFront 接收到的響應包含標Access-Control-Allow-Origin題，則在對查看器的響應中 CloudFront 使用該標頭（及其值）。 CloudFront 不使用此原則中的標頭。

使用AWS CloudFormationAWS CLI、或 CloudFront API 時，此原則的識別碼為：

60669652-455b-4ae9-85a4-c4c02393f86c

政策設定
	標頭名稱	標頭值	是否覆寫原始伺服器？
CORS 標頭：	`Access-Control-Allow-Origin`	`*`	否

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

建立回應標頭政策

瞭解回應標頭政策