Imposta i cookie firmati utilizzando una politica predefinita - Amazon CloudFront
Crea una firma per un cookie firmato che utilizza una politica predefinita

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Imposta i cookie firmati utilizzando una politica predefinita

Per definire un cookie firmato utilizzando una policy predefinita, completa la procedura descritta di seguito. Per creare la firma, consulta Crea una firma per un cookie firmato che utilizza una politica predefinita.

Definizione di un cookie firmato utilizzando una policy predefinita

  1. Se utilizzi .NET o Java per creare cookie firmati e non hai riformattato la chiave privata per la coppia di chiavi dal formato default .pem a un formato compatibile con .NET o Java, fallo adesso. Per ulteriori informazioni, consulta Riformatta la chiave privata (solo .NET e Java).

  2. Programma la tua applicazione affinché invii tre intestazioni Set-Cookie a visualizzatori approvati. Sono necessarie tre intestazioni Set-Cookie in quanto ogni intestazione Set-Cookie può contenere una sola coppia nome-valore e un cookie firmato di CloudFront richiede tre coppie nome-valore. Le coppie nome-valore sono: CloudFront-Expires, CloudFront-Signature e CloudFront-Key-Pair-Id. I valori devono essere presenti sul visualizzatore prima che un utente effettui la prima richiesta per un file di cui intendi controllare l'accesso.

    Nota

    Come regola generale, ti consigliamo di escludere attributi Expires e Max-Age. In seguito all'esclusione degli attributi, il browser elimina il cookie quando l'utente chiude il browser e ciò riduce la possibilità che qualcuno ottenga accesso non autorizzato al tuo contenuto. Per ulteriori informazioni, consulta Impedisci l'uso improprio dei cookie firmati.

    I nomi degli attributi di cookie fanno distinzione tra maiuscole e minuscole.

    Le interruzioni di riga sono incluse solo per rendere gli attributi più leggibili.

    Set-Cookie: 
CloudFront-Expires=date and time in Unix time format (in seconds) and Coordinated Universal Time (UTC); 
Domain=optional domain name; 
Path=/optional directory path; 
Secure; 
HttpOnly

Set-Cookie: 
CloudFront-Signature=hashed and signed version of the policy statement; 
Domain=optional domain name; 
Path=/optional directory path; 
Secure; 
HttpOnly

Set-Cookie: 
CloudFront-Key-Pair-Id=public key ID for the CloudFront public key whose corresponding private key you're using to generate the signature; 
Domain=optional domain name; 
Path=/optional directory path; 
Secure; 
HttpOnly
    (Facoltativo) Domain

    Il nome di dominio per il file richiesto. Se non specifichi un attributo Domain, il valore di default è il nome di dominio nell'URL e viene applicato solo al nome di dominio specificato, non ai sottodomini. Se specifichi un attributo Domain, è applicabile anche ai sottodomini. Un punto all'inizio del nome di dominio (ad esempio Domain=.example.com) è facoltativo. Inoltre, se specifichi un attributo Domain, il nome di dominio nell'URL e il valore dell'attributo Domain devono corrispondere.

    Puoi specificare il nome di dominio CloudFront assegnato alla tua distribuzione, ad esempio d111111abcdef8.cloudfront.net, ma non puoi specificare *.cloudfront.net per il nome di dominio.

    Se desideri utilizzare un nome di dominio alternativo come example.com in, devi aggiungere il nome di dominio alternativo alla tua distribuzione indipendentemente dal fatto che tu specifichi l'attributo. URLs Domain Per ulteriori informazioni, consulta Nomi di dominio alternativi () CNAMEs nell'argomento Riferimento a tutte le impostazioni di distribuzione.

    (Facoltativo) Path

    Il percorso per il file richiesto. Se non si specifichi un attributo Path, il valore di default è il percorso nell'URL.

    Secure

    Richiede al visualizzatore di crittografare i cookie prima dell'invio di una richiesta. Ti consigliamo di inviare l'Set-Cookieintestazione tramite una connessione HTTPS per assicurarti che gli attributi del cookie siano protetti dagli attacchi. man-in-the-middle

    HttpOnly

    Definisce il modo in cui il browser (se supportato) interagisce con il valore del cookie. ConHttpOnly, i valori del cookie sono inaccessibili a. JavaScript Questa precauzione può aiutare a mitigare gli attacchi XSS (Cross-Site Scripting). Per ulteriori informazioni, consulta Utilizzo dei cookie HTTP.

    CloudFront-Expires

    Specifica la data e l'ora di scadenza in formato Unix (in secondi) e UTC. Ad esempio, le 10:00 UTC del 1° gennaio 2026 vengono convertite in 1767290400 nel formato orario Unix.

    Per utilizzare l'ora epoch, specifica un numero intero a 64 bit per una data non successiva a 9223372036854775807 (venerdì 11 aprile 2262 alle 23:47:16.854 UTC).

    Per informazioni sul formato UTC, consulta RFC 3339, Date and Time on the Internet: Timestamps, https://tools.ietf.org/html/rfc3339.

    CloudFront-Signature

    Una versione con hash, firma e codifica base64 di una dichiarazione di policy JSON. Per ulteriori informazioni, consulta Crea una firma per un cookie firmato che utilizza una politica predefinita.

    CloudFront-Key-Pair-Id

    L'ID di una chiave pubblica, ad esempio,. CloudFront K2JCJMDEHXQW5F L'ID della chiave pubblica indica CloudFront quale chiave pubblica utilizzare per convalidare l'URL firmato. CloudFront confronta le informazioni contenute nella firma con quelle contenute nell'informativa per verificare che l'URL non sia stato manomesso.

    Questa chiave pubblica deve appartenere a un gruppo di chiavi che sia un firmatario attendibile nella distribuzione. Per ulteriori informazioni, consulta Specificate i firmatari che possono creare cookie firmati e firmati URLs .

L'esempio seguente mostra le Set-Cookie intestazioni di un cookie firmato quando si utilizza il nome di dominio associato alla distribuzione in for your files: URLs 

Set-Cookie: CloudFront-Expires=1426500000; Domain=d111111abcdef8.cloudfront.net; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Signature=yXrSIgyQoeE4FBI4eMKF6ho~CA8_; Domain=d111111abcdef8.cloudfront.net; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Key-Pair-Id=K2JCJMDEHXQW5F; Domain=d111111abcdef8.cloudfront.net; Path=/images/*; Secure; HttpOnly

L'esempio seguente mostra le Set-Cookie intestazioni per un cookie firmato quando utilizzi il nome di dominio alternativo example.org nella cartella per i tuoi file: URLs 

Set-Cookie: CloudFront-Expires=1426500000; Domain=example.org; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Signature=yXrSIgyQoeE4FBI4eMKF6ho~CA8_; Domain=example.org; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Key-Pair-Id=K2JCJMDEHXQW5F; Domain=example.org; Path=/images/*; Secure; HttpOnly

Se desideri utilizzare un nome di dominio alternativo come example.com in URLs, devi aggiungere il nome di dominio alternativo alla tua distribuzione indipendentemente dal fatto che tu specifichi l'attributo. Domain Per ulteriori informazioni, consulta Nomi di dominio alternativi () CNAMEs nell'argomento Riferimento a tutte le impostazioni di distribuzione.

Crea una firma per un cookie firmato che utilizza una politica predefinita

Per creare la firma per un cookie firmato che utilizza una policy predefinita, completa le seguenti procedure.

Crea una dichiarazione politica per un cookie firmato che utilizza una politica predefinita

Quando definisci un cookie firmato che utilizza una policy predefinita, l'attributo CloudFront-Signature è una versione con hash e firma di una dichiarazione di policy. Per i cookie firmati che utilizzano una policy predefinita, non includi la dichiarazione di policy nell'intestazione Set-Cookie, come avviene per i cookie firmati che utilizzano una policy personalizzata. Per creare una dichiarazione di policy, esegui la procedura descritta di seguito.

Creazione di una dichiarazione di policy per un cookie firmato che utilizza una policy predefinita

  1. Crea la dichiarazione di policy utilizzando il formato JSON seguente e la codifica caratteri UTF-8. Includi tutta le punteggiatura e altri valori letterali esattamente come specificato. Per informazioni sui parametri Resource e DateLessThan, consulta Valori da specificare in una dichiarazione di policy per cookie firmati che utilizzano una policy predefinita.

    {
    "Statement": [
        {
            "Resource": "base URL or stream name",
            "Condition": {
                "DateLessThan": {
                    "AWS:EpochTime": ending date and time in Unix time format and UTC
                }
            }
        }
    ]
}

  2. Rimuovi tutti gli spazi vuoti (inclusi tabulazioni e caratteri di nuova riga) dalla dichiarazione politica. È possibile che tu debba includere caratteri di escape nella stringa del codice dell'applicazione.

Valori da specificare in una dichiarazione di policy per cookie firmati che utilizzano una policy predefinita

Quando crei una dichiarazione di policy per una policy predefinita, specifichi i valori seguenti:

Risorsa

L'URL di base che include le eventuali stringhe di query, ad esempio:

https://d111111abcdef8.cloudfront.net/images/horizon.jpg?size=large&license=yes

Puoi specificare un solo valore per Resource.

Tieni presente quanto segue:

  • Protocollo: il valore deve iniziare con http:// o https://.

  • Parametri di stringa di query: se non hai parametri di stringa di query, ometti il punto di domanda.

  • Nomi di dominio alternativi: se specifichi un nome di dominio alternativo (CNAME) nell'URL, devi specificarlo quando fai riferimento al file nella pagina Web o nell'applicazione. Non specificare l'URL Amazon S3 per il file.

DateLessThan

La data e l'ora di scadenza per l'URL in formato Unix (in secondi) e UTC. Non racchiudere il valore tra virgolette.

Ad esempio, 16 marzo 2015 10:00 UTC viene convertito in 1426500000 nel formato Unix.

Questo valore deve corrispondere al valore dell'attributo CloudFront-Expires nell'intestazione Set-Cookie. Non racchiudere il valore tra virgolette.

Per ulteriori informazioni, consulta When CloudFront controlla la data e l'ora di scadenza in un cookie firmato.

Esempio di dichiarazione di policy per una policy predefinita

Quando utilizzi l'esempio di dichiarazione di policy seguente in un cookie firmato, un utente può accedere al file https://d111111abcdef8.cloudfront.net/horizon.jpg fino al 16 marzo 2015 10:00 UTC:

{
    "Statement": [
        {
            "Resource": "https://d111111abcdef8.cloudfront.net/horizon.jpg?size=large&license=yes",
            "Condition": {
                "DateLessThan": {
                    "AWS:EpochTime": 1426500000
                }
            }
        }
    ]
}

Firma la dichiarazione sulla politica per creare una firma per un cookie firmato che utilizza una politica predefinita

Per creare il valore per l'attributo CloudFront-Signature in un'intestazione Set-Cookie, sottoponi a hashing e firmi la dichiarazione di policy che hai creato in Creazione di una dichiarazione di policy per un cookie firmato che utilizza una policy predefinita.

Per ulteriori informazioni ed esempi su come sottoporre a hashing, firmare e codificare la dichiarazione di policy, consulta i seguenti argomenti:

Creazione di una firma per un cookie firmato che utilizza una policy predefinita

  1. Utilizza la funzione hash SHA-1 e RSA per sottoporre a hashing e firmare la dichiarazione di policy che hai creato nella procedura Creazione di una dichiarazione di policy per un cookie firmato che utilizza una policy predefinita. Utilizza la versione dell'informativa che non include più spazi vuoti.

    Per la chiave privata richiesta dalla funzione hash, utilizza una chiave privata la cui chiave pubblica si trova in un gruppo di chiavi attendibili attivo per la distribuzione.

    Nota

    Il metodo utilizzato per sottoporre a hashing e firmare la dichiarazione di policy dipende dalla piattaforma e dal linguaggio di programmazione. Per il codice di esempio, consulta Codice di esempio per la creazione di una firma per un URL firmato.

  2. Rimuovi gli spazi vuoti (inclusi tabulazioni e caratteri di nuova riga) dalla stringa con hash e firmata.

  3. Codifica la stringa utilizzando la codifica base64 MIME. Per ulteriori informazioni, vedere Sezione 6.8, Base64 Content-Transfer-Encoding in RFC 2045, MIME (Multipurpose Internet Mail Extensions), parte prima: Formato dei corpi dei messaggi Internet.

  4. Sostituisci i caratteri non validi nella stringa di query dell'URL con caratteri validi. La tabella seguente elenca i caratteri validi e non validi.

    Sostituisci questi caratteri non validi Con questi caratteri validi

    +

    - (trattino)

    =

    _ (carattere di sottolineatura)

    /

    ~ (tilde)

  5. Includi il valore risultante nell'intestazione Set-Cookie per la coppia nome-valore CloudFront-Signature. Quindi ritorna a Definizione di un cookie firmato utilizzando una policy predefinita e aggiungi l'intestazione Set-Cookie per CloudFront-Key-Pair-Id.