CORS-dan- SecurityHeadersPolicy CORS-dengan-preflight CORS- - with-preflight-and SecurityHeadersPolicy SecurityHeadersPolicy SimpleCORS

Menggunakan kebijakan header respons terkelola

Dengan kebijakan header CloudFront respons, Anda dapat menentukan header HTTP yang CloudFront dihapus atau ditambahkan Amazon dalam tanggapan yang dikirimkan ke pemirsa. Untuk informasi selengkapnya tentang kebijakan header respons dan alasan menggunakannya, lihatMenambahkan atau menghapus header HTTP dalam CloudFront tanggapan dengan kebijakan.

CloudFront menyediakan kebijakan header respons terkelola yang dapat Anda lampirkan ke perilaku cache dalam CloudFront distribusi Anda. Dengan kebijakan header respons terkelola, Anda tidak perlu menulis atau mempertahankan kebijakan Anda sendiri. Kebijakan terkelola berisi kumpulan header respons HTTP untuk kasus penggunaan umum.

Untuk menggunakan kebijakan header respons terkelola, Anda melampirkannya ke perilaku cache dalam distribusi Anda. Prosesnya sama seperti saat Anda membuat kebijakan header respons kustom. Namun, alih-alih membuat kebijakan baru, Anda melampirkan salah satu kebijakan terkelola. Anda melampirkan kebijakan baik dengan nama (dengan konsol) atau dengan ID (dengan AWS CloudFormation, the AWS CLI, atau AWS SDKs). Nama-nama dan IDs tercantum di bagian berikut.

Untuk informasi selengkapnya, lihat Buat kebijakan header respons.

Topik berikut menjelaskan kebijakan header respons terkelola yang dapat Anda gunakan.

Topik

CORS-dan- SecurityHeadersPolicy
CORS-dengan-preflight
CORS- - with-preflight-and SecurityHeadersPolicy
SecurityHeadersPolicy
SimpleCORS

CORS-dan- SecurityHeadersPolicy

Lihat kebijakan ini di CloudFront konsol

Gunakan kebijakan terkelola ini untuk mengizinkan permintaan CORS sederhana dari asal mana pun. Kebijakan ini juga menambahkan satu set header keamanan ke semua tanggapan yang CloudFront dikirimkan ke pemirsa. Kebijakan ini menggabungkan SimpleCORS dan SecurityHeadersPolicy kebijakan menjadi satu.

Saat menggunakan AWS CloudFormation, the AWS CLI, atau CloudFront API, ID untuk kebijakan ini adalah:

e61eb60c-9c35-4d20-a928-2b84e02af89c

Pengaturan kebijakan
	Nama header	Nilai header	Mengesampingkan asal?
Header CORS:	`Access-Control-Allow-Origin`	`*`	Tidak
Header keamanan:	`Referrer-Policy`	`strict-origin-when-cross-origin`	Tidak
	`Strict-Transport-Security`	`max-age=31536000`	Tidak
	`X-Content-Type-Options`	`nosniff`	Ya
	`X-Frame-Options`	`SAMEORIGIN`	Tidak
	`X-XSS-Protection`	`1; mode=block`	Tidak

CORS-dengan-preflight

Lihat kebijakan ini di CloudFront konsol

Gunakan kebijakan terkelola ini untuk mengizinkan permintaan CORS dari asal mana pun, termasuk permintaan preflight. Untuk permintaan preflight (menggunakan OPTIONS metode HTTP), CloudFront tambahkan ketiga header berikut ke respons. Untuk permintaan CORS sederhana, CloudFront tambahkan hanya Access-Control-Allow-Origin header.

Jika respons yang CloudFront menerima dari asal menyertakan salah satu header ini, CloudFront gunakan header yang diterima (dan nilainya) dalam responsnya terhadap penampil. CloudFronttidak menggunakan header dalam kebijakan ini.

Saat menggunakan AWS CloudFormation, the AWS CLI, atau CloudFront API, ID untuk kebijakan ini adalah:

5cc3b908-e619-4b99-88e5-2cf7f45965bd

Pengaturan kebijakan
	Nama header	Nilai header	Mengesampingkan asal?
Header CORS:	`Access-Control-Allow-Methods`	`DELETE`, `GET`, `HEAD`, `OPTIONS`, `PATCH`, `POST`, `PUT`	Tidak
	`Access-Control-Allow-Origin`	`*`
	`Access-Control-Expose-Headers`	`*`

CORS- - with-preflight-and SecurityHeadersPolicy

Lihat kebijakan ini di CloudFront konsol

Gunakan kebijakan terkelola ini untuk mengizinkan permintaan CORS dari asal mana pun. Ini termasuk permintaan preflight. Kebijakan ini juga menambahkan satu set header keamanan ke semua tanggapan yang CloudFront dikirimkan ke pemirsa. Kebijakan ini menggabungkan CORS-dengan-preflight dan SecurityHeadersPolicy kebijakan menjadi satu.

Saat menggunakan AWS CloudFormation, the AWS CLI, atau CloudFront API, ID untuk kebijakan ini adalah:

eaab4381-ed33-4a86-88ca-d9558dc6cd63

Pengaturan kebijakan
	Nama header	Nilai header	Mengesampingkan asal?
Header CORS:	`Access-Control-Allow-Methods`	`DELETE`, `GET`, `HEAD`, `OPTIONS`, `PATCH`, `POST`, `PUT`	Tidak
	`Access-Control-Allow-Origin`	`*`
	`Access-Control-Expose-Headers`	`*`
Header keamanan:	`Referrer-Policy`	`strict-origin-when-cross-origin`	Tidak
	`Strict-Transport-Security`	`max-age=31536000`	Tidak
	`X-Content-Type-Options`	`nosniff`	Ya
	`X-Frame-Options`	`SAMEORIGIN`	Tidak
	`X-XSS-Protection`	`1; mode=block`	Tidak

SecurityHeadersPolicy

Lihat kebijakan ini di CloudFront konsol

Gunakan kebijakan terkelola ini untuk menambahkan satu set header keamanan ke semua respons yang CloudFront dikirim ke pemirsa. Untuk informasi selengkapnya tentang header keamanan ini, lihat pedoman keamanan web Mozilla.

Dengan kebijakan header respons ini, CloudFront tambahkan X-Content-Type-Options: nosniff ke semua tanggapan. Ini adalah kasus ketika respons yang CloudFront diterima dari asal menyertakan header ini dan ketika tidak. Untuk semua header lain dalam kebijakan ini, jika respons yang CloudFront diterima dari asal menyertakan header, CloudFront menggunakan header yang diterima (dan nilainya) sebagai responsnya terhadap penampil. Itu tidak menggunakan header dalam kebijakan ini.

Saat menggunakan AWS CloudFormation, the AWS CLI, atau CloudFront API, ID untuk kebijakan ini adalah:

67f7725c-6f97-4210-82d7-5512b31e9d03

Pengaturan kebijakan
	Nama header	Nilai header	Mengesampingkan asal?
Header keamanan:	`Referrer-Policy`	`strict-origin-when-cross-origin`	Tidak
	`Strict-Transport-Security`	`max-age=31536000`	Tidak
	`X-Content-Type-Options`	`nosniff`	Ya
	`X-Frame-Options`	`SAMEORIGIN`	Tidak
	`X-XSS-Protection`	`1; mode=block`	Tidak

SimpleCORS

Lihat kebijakan ini di CloudFront konsol

Gunakan kebijakan terkelola ini untuk mengizinkan permintaan CORS sederhana dari asal mana pun. Dengan kebijakan ini, CloudFront tambahkan header Access-Control-Allow-Origin: * ke semua respons untuk permintaan CORS sederhana.

Jika respons yang CloudFront diterima dari asal menyertakan Access-Control-Allow-Origin header, CloudFront gunakan header itu (dan nilainya) dalam responsnya terhadap penampil. CloudFront tidak menggunakan header dalam kebijakan ini.

Saat menggunakan AWS CloudFormation, the AWS CLI, atau CloudFront API, ID untuk kebijakan ini adalah:

60669652-455b-4ae9-85a4-c4c02393f86c

Pengaturan kebijakan
	Nama header	Nilai header	Mengesampingkan asal?
Header CORS:	`Access-Control-Allow-Origin`	`*`	Tidak

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Buat kebijakan header respons

Perilaku permintaan dan respons