CORS-and-SecurityHeadersPolicy CORS-With-Preflight CORS-with-preflight-and-SecurityHeadersPolicy SecurityHeadersPolicy SimpleCORS

Utilisation de politiques d’en-têtes de réponse gérées

Avec une politique d'en-têtes de réponse CloudFront, vous pouvez spécifier les en-têtes HTTP qu'Amazon CloudFront supprime ou ajoute dans les réponses envoyées aux utilisateurs. Pour plus d’informations sur les politiques d’en-têtes de réponses et sur les raisons de leur utilisation, consultez la section Ajout ou suppression d’en-têtes HTTP dans les réponses CloudFront à l’aide d’une politique.

CloudFront fournit des politiques d'en-têtes de réponses gérées que vous pouvez attacher aux comportements de cache dans vos distributions CloudFront. Avec une politique d’en-têtes de réponses gérée, vous n'avez pas besoin d'écrire ou de gérer votre propre politique. Les politiques gérées contiennent des ensembles d'en-têtes de réponses HTTP pour les cas d'utilisation courants.

Pour utiliser une politique d’en-têtes de réponses gérée, attachez-la à un comportement de cache dans votre distribution. Le processus est le même que lorsque vous créez une politique d'en-têtes de réponse personnalisée. Toutefois, au lieu de créer une nouvelle politique, vous attachez l'une des politiques gérées. Vous pouvez attacher la politique par nom (avec la console) ou par ID (avec CloudFormation, la AWS CLI ou les kits SDK AWS). Les noms et les identifiants sont répertoriés dans la section suivante.

Pour plus d’informations, consultez Création de politiques d’en-têtes de réponses.

Les rubriques suivantes décrivent les politiques d'en-têtes de réponse gérées que vous pouvez utiliser.

Rubriques

CORS-and-SecurityHeadersPolicy
CORS-With-Preflight
CORS-with-preflight-and-SecurityHeadersPolicy
SecurityHeadersPolicy
SimpleCORS

CORS-and-SecurityHeadersPolicy

Affichez cette stratégie dans la console CloudFront

Utilisez cette politique gérée pour autoriser les demandes CORS simples de n'importe quelle origine. Cette politique ajoute également un ensemble d'en-têtes de sécurité à toutes les réponses que CloudFront envoie aux utilisateurs. Cette politique combine les politiques SimpleCORS et SecurityHeadersPolicy en une seule.

Lorsque vous utilisez CloudFormation, AWS CLI ou l’API CloudFront, l'ID de cette politique est le suivant :

e61eb60c-9c35-4d20-a928-2b84e02af89c

Paramètres de politique
	Nom de l’en-tête	Valeur d’en-tête	Remplacer l'origine ?
En-têtes CORS:	`Access-Control-Allow-Origin`	`*`	Non
En-têtes de sécurité:	`Referrer-Policy`	`strict-origin-when-cross-origin`	Non
	`Strict-Transport-Security`	`max-age=31536000`	Non
	`X-Content-Type-Options`	`nosniff`	Oui
	`X-Frame-Options`	`SAMEORIGIN`	Non
	`X-XSS-Protection`	`1; mode=block`	Non

CORS-With-Preflight

Affichez cette stratégie dans la console CloudFront

Utilisez cette politique gérée pour autoriser les demandes CORS de n'importe quelle origine, y compris les demandes de contrôle en amont. Pour les demandes de contrôle en amont (utilisant la méthode HTTP)OPTIONS), CloudFront ajoute tous les trois en-têtes suivants à la réponse. Pour les demandes CORS simples, CloudFront ajoute uniquement l’en-tête Access-Control-Allow-Origin.

Si la réponse que CloudFront reçoit de l'origine inclut l'un de ces en-têtes, CloudFront utilise l'en-tête reçu (et sa valeur) dans sa réponse à l’utilisateur. CloudFront n’utilise pas l’en-tête de cette politique.

Lorsque vous utilisez CloudFormation, AWS CLI ou l’API CloudFront, l'ID de cette politique est le suivant :

5cc3b908-e619-4b99-88e5-2cf7f45965bd

Paramètres de politique
	Nom de l’en-tête	Valeur d’en-tête	Remplacer l'origine ?
En-têtes CORS:	`Access-Control-Allow-Methods`	`DELETE`, `GET`, `HEAD`, `OPTIONS`, `PATCH`, `POST`, `PUT`	Non
	`Access-Control-Allow-Origin`	`*`
	`Access-Control-Expose-Headers`	`*`

CORS-with-preflight-and-SecurityHeadersPolicy

Affichez cette stratégie dans la console CloudFront

Utilisez cette politique gérée pour autoriser les demandes CORS de n'importe quelle origine. Cela inclut les demandes de contrôle en amont. Cette politique ajoute également un ensemble d'en-têtes de sécurité à toutes les réponses que CloudFront envoie aux utilisateurs. Cette politique combine les politiques CORS-With-Preflight et SecurityHeadersPolicy en une seule.

Lorsque vous utilisez CloudFormation, AWS CLI ou l’API CloudFront, l'ID de cette politique est le suivant :

eaab4381-ed33-4a86-88ca-d9558dc6cd63

Paramètres de politique
	Nom de l’en-tête	Valeur d’en-tête	Remplacer l'origine ?
En-têtes CORS:	`Access-Control-Allow-Methods`	`DELETE`, `GET`, `HEAD`, `OPTIONS`, `PATCH`, `POST`, `PUT`	Non
	`Access-Control-Allow-Origin`	`*`
	`Access-Control-Expose-Headers`	`*`
En-têtes de sécurité:	`Referrer-Policy`	`strict-origin-when-cross-origin`	Non
	`Strict-Transport-Security`	`max-age=31536000`	Non
	`X-Content-Type-Options`	`nosniff`	Oui
	`X-Frame-Options`	`SAMEORIGIN`	Non
	`X-XSS-Protection`	`1; mode=block`	Non

SecurityHeadersPolicy

Affichez cette stratégie dans la console CloudFront

Utilisez cette politique gérée pour ajouter un ensemble d'en-têtes de sécurité à toutes les réponses que CloudFront envoie aux utilisateurs. Pour plus d'informations sur ces en-têtes de sécurité, consultez les recommandations de sécurité web de Mozilla.

Avec cette politique d'en-têtes de réponse, CloudFront ajoute X-Content-Type-Options: nosniff à toutes les réponses. C'est le cas lorsque la réponse que CloudFront a reçue de l'origine inclut cet en-tête et lorsqu'elle ne l'inclut pas. Pour tous les autres en-têtes de cette politique, si la réponse que CloudFront reçoit de l'origine inclut l’en-tête, CloudFront utilise l'en-tête reçu (et sa valeur) dans sa réponse à l’utilisateur. Il n'utilise pas l'en-tête de cette politique.

Lorsque vous utilisez CloudFormation, AWS CLI ou l’API CloudFront, l'ID de cette politique est le suivant :

67f7725c-6f97-4210-82d7-5512b31e9d03

Paramètres de politique
	Nom de l’en-tête	Valeur d’en-tête	Remplacer l'origine ?
En-têtes de sécurité:	`Referrer-Policy`	`strict-origin-when-cross-origin`	Non
	`Strict-Transport-Security`	`max-age=31536000`	Non
	`X-Content-Type-Options`	`nosniff`	Oui
	`X-Frame-Options`	`SAMEORIGIN`	Non
	`X-XSS-Protection`	`1; mode=block`	Non

SimpleCORS

Affichez cette stratégie dans la console CloudFront

Utilisez cette politique gérée pour autoriser les demandes CORS simples de n'importe quelle origine. Avec cette politique, CloudFront ajoute l'en-tête Access-Control-Allow-Origin: * à toutes les réponses pour les demandes CORS simples.

Si la réponse que CloudFront reçoit de l'origine inclut l’en-tête Access-Control-Allow-Origin, CloudFront utilise cet en-tête (et sa valeur) dans sa réponse à l’utilisateur. CloudFront n’utilise pas l’en-tête de cette politique.

Lorsque vous utilisez CloudFormation, AWS CLI ou l’API CloudFront, l'ID de cette politique est le suivant :

60669652-455b-4ae9-85a4-c4c02393f86c

Paramètres de politique
	Nom de l’en-tête	Valeur d’en-tête	Remplacer l'origine ?
En-têtes CORS:	`Access-Control-Allow-Origin`	`*`	Non

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Création de politiques d’en-têtes de réponses

Comportement des demandes et des réponses