Impostazione di cookie firmati mediante una policy di accesso predefinita - Amazon CloudFront
Creazione di una firma per un cookie firmato che utilizza una policy di accesso predefinita

Impostazione di cookie firmati mediante una policy di accesso predefinita

Per definire un cookie firmato utilizzando una policy predefinita, completa la procedura descritta di seguito. Per creare la firma, consulta Creazione di una firma per un cookie firmato che utilizza una policy di accesso predefinita.

Definizione di un cookie firmato utilizzando una policy predefinita

  1. Se utilizzi .NET o Java per creare cookie firmati e non hai riformattato la chiave privata per la coppia di chiavi dal formato default .pem a un formato compatibile con .NET o Java, fallo adesso. Per ulteriori informazioni, consulta Riformattazione della chiave privata (solo .NET e Java).

  2. Programma la tua applicazione affinché invii tre intestazioni Set-Cookie a visualizzatori approvati. Sono necessarie tre intestazioni Set-Cookie in quanto ogni intestazione Set-Cookie può contenere una sola coppia nome-valore e un cookie firmato di CloudFront richiede tre coppie nome-valore. Le coppie nome-valore sono: CloudFront-Expires, CloudFront-Signature e CloudFront-Key-Pair-Id. I valori devono essere presenti sul visualizzatore prima che un utente effettui la prima richiesta per un file di cui intendi controllare l'accesso.

    Nota

    Come regola generale, ti consigliamo di escludere attributi Expires e Max-Age. In seguito all'esclusione degli attributi, il browser elimina il cookie quando l'utente chiude il browser e ciò riduce la possibilità che qualcuno ottenga accesso non autorizzato al tuo contenuto. Per ulteriori informazioni, consulta Prevenzione contro l’uso improprio di cookie firmati.

    I nomi degli attributi di cookie fanno distinzione tra maiuscole e minuscole.

    Le interruzioni di riga sono incluse solo per rendere gli attributi più leggibili.

    Set-Cookie: 
CloudFront-Expires=date and time in Unix time format (in seconds) and Coordinated Universal Time (UTC); 
Domain=optional domain name; 
Path=/optional directory path; 
Secure; 
HttpOnly

Set-Cookie: 
CloudFront-Signature=hashed and signed version of the policy statement; 
Domain=optional domain name; 
Path=/optional directory path; 
Secure; 
HttpOnly

Set-Cookie: 
CloudFront-Key-Pair-Id=public key ID for the CloudFront public key whose corresponding private key you're using to generate the signature; 
Domain=optional domain name; 
Path=/optional directory path; 
Secure; 
HttpOnly
    (Facoltativo) Domain

    Il nome di dominio per il file richiesto. Se non specifichi un attributo Domain, il valore di default è il nome di dominio nell'URL e viene applicato solo al nome di dominio specificato, non ai sottodomini. Se specifichi un attributo Domain, è applicabile anche ai sottodomini. Un punto all'inizio del nome di dominio (ad esempio Domain=.example.com) è facoltativo. Inoltre, se specifichi un attributo Domain, il nome di dominio nell'URL e il valore dell'attributo Domain devono corrispondere.

    È possibile specificare il nome di dominio che CloudFront ha assegnato alla distribuzione, ad esempio d111111abcdef8.cloudfront.net, ma non puoi specificare *.cloudfront.net per il nome di dominio.

    Se intendi utilizzare un nome di dominio alternativo come example.com negli URL, devi aggiungere il nome di dominio alternativo alla distribuzione indipendentemente se si specifica l'attributo Domain. Per ulteriori informazioni, consulta Nomi di dominio alternativi (CNAME) nell'argomento Riferimento a tutte le impostazioni di distribuzione.

    (Facoltativo) Path

    Il percorso per il file richiesto. Se non si specifichi un attributo Path, il valore di default è il percorso nell'URL.

    Secure

    Richiede al visualizzatore di crittografare i cookie prima dell'invio di una richiesta. Ti consigliamo di inviare l'intestazione Set-Cookie tramite una connessione HTTPS per assicurare la protezione degli attributi dei cookie da attacchi man-in-the-middle.

    HttpOnly

    Definisce in che modo il browser (ove supportato) interagisce con il valore del cookie. Con HttpOnly, i valori dei cookie sono inaccessibili a JavaScript. Questa precauzione può aiutare a mitigare gli attacchi di cross-site scripting (XSS). Per ulteriori informazioni, consulta Utilizzo di cookie HTTP.

    CloudFront-Expires

    Specifica la data e l'ora di scadenza in formato Unix (in secondi) e UTC. Ad esempio, la data 1 gennaio 2026 10:00 UTC viene convertita in 1767290400 nel formato Unix.

    Per usare il tempo epoch, specifica un numero intero a 64 bit per una data non posteriore a 9223372036854775807 (venerdì 11 aprile 2262 alle 23:47:16.854 UTC).

    Per informazioni sul formato UTC, consulta RFC 3339, Date and Time on the Internet: Timestamps, https://tools.ietf.org/html/rfc3339.

    CloudFront-Signature

    Una versione con hash, firma e codifica base64 di una dichiarazione di policy JSON. Per ulteriori informazioni, consulta Creazione di una firma per un cookie firmato che utilizza una policy di accesso predefinita.

    CloudFront-Key-Pair-Id

    L'ID di una chiave pubblica CloudFront, ad esempi, K2JCJMDEHXQW5F. L'ID della chiave pubblica indica a CloudFront quale chiave pubblica utilizzare per convalidare l'URL firmato. CloudFront confronta le informazioni nella firma con le informazioni nella dichiarazione di policy per verificare che l'URL non è stato alterato.

    Questa chiave pubblica deve appartenere a un gruppo di chiavi che sia un firmatario attendibile nella distribuzione. Per ulteriori informazioni, consulta Specifica dei firmatari che possono creare URL firmati e cookie firmati.

Il seguente esempio mostra intestazioni Set-Cookie per un cookie firmato quando utilizzi il nome di dominio associato alla distribuzione negli URL per i tuoi file:

Set-Cookie: CloudFront-Expires=1426500000; Domain=d111111abcdef8.cloudfront.net; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Signature=yXrSIgyQoeE4FBI4eMKF6ho~CA8_; Domain=d111111abcdef8.cloudfront.net; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Key-Pair-Id=K2JCJMDEHXQW5F; Domain=d111111abcdef8.cloudfront.net; Path=/images/*; Secure; HttpOnly

Il seguente esempio mostra intestazioni Set-Cookie per un cookie firmato quando utilizzi il nome di dominio alternativo example.org negli URL per i tuoi file:

Set-Cookie: CloudFront-Expires=1426500000; Domain=example.org; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Signature=yXrSIgyQoeE4FBI4eMKF6ho~CA8_; Domain=example.org; Path=/images/*; Secure; HttpOnly
Set-Cookie: CloudFront-Key-Pair-Id=K2JCJMDEHXQW5F; Domain=example.org; Path=/images/*; Secure; HttpOnly

Se intendi utilizzare un nome di dominio alternativo come example.com negli URL, devi aggiungere il nome di dominio alternativo alla distribuzione indipendentemente se si specifica l'attributo Domain. Per ulteriori informazioni, consulta Nomi di dominio alternativi (CNAME) nell'argomento Riferimento a tutte le impostazioni di distribuzione.

Creazione di una firma per un cookie firmato che utilizza una policy di accesso predefinita

Per creare la firma per un cookie firmato che utilizza una policy di accesso predefinita, completa le seguenti procedure.

Creazione di una dichiarazione di policy per un cookie firmato che utilizza una policy di accesso predefinita

Quando definisci un cookie firmato che utilizza una policy predefinita, l'attributo CloudFront-Signature è una versione con hash e firma di una dichiarazione di policy. Per i cookie firmati che utilizzano una policy predefinita, non includi la dichiarazione di policy nell'intestazione Set-Cookie, come avviene per i cookie firmati che utilizzano una policy personalizzata. Per creare una dichiarazione di policy, esegui la procedura descritta di seguito.

Creazione di una dichiarazione di policy per un cookie firmato che utilizza una policy predefinita

  1. Crea la dichiarazione di policy utilizzando il formato JSON seguente e la codifica caratteri UTF-8. Includi tutta le punteggiatura e altri valori letterali esattamente come specificato. Per informazioni sui parametri Resource e DateLessThan, consulta Valori da specificare in una dichiarazione di policy per cookie firmati che utilizzano una policy predefinita.

    {
    "Statement": [
        {
            "Resource": "base URL or stream name",
            "Condition": {
                "DateLessThan": {
                    "AWS:EpochTime": ending date and time in Unix time format and UTC
                }
            }
        }
    ]
}

  2. Rimuovi tutti gli spazi vuoti (inclusi i caratteri di nuova riga e le tabulazioni) dalla dichiarazione di policy. È possibile che tu debba includere caratteri di escape nella stringa del codice dell'applicazione.

Valori da specificare in una dichiarazione di policy per cookie firmati che utilizzano una policy predefinita

Quando crei una dichiarazione di policy per una policy predefinita, specifichi i valori seguenti:

Risorsa

L'URL di base che include le eventuali stringhe di query, ad esempio:

https://d111111abcdef8.cloudfront.net/images/horizon.jpg?size=large&license=yes

Puoi specificare un solo valore per Resource.

Tieni presente quanto segue:

  • Protocollo: il valore deve iniziare con http:// o https://.

  • Parametri di stringa di query: se non hai parametri di stringa di query, ometti il punto di domanda.

  • Nomi di dominio alternativi: se specifichi un nome di dominio alternativo (CNAME) nell'URL, devi specificarlo quando fai riferimento al file nella pagina Web o nell'applicazione. Non specificare l'URL Amazon S3 per il file.

DateLessThan

La data e l'ora di scadenza per l'URL in formato Unix (in secondi) e UTC. Non racchiudere il valore tra virgolette.

Ad esempio, 16 marzo 2015 10:00 UTC viene convertito in 1426500000 nel formato Unix.

Questo valore deve corrispondere al valore dell'attributo CloudFront-Expires nell'intestazione Set-Cookie. Non racchiudere il valore tra virgolette.

Per ulteriori informazioni, consulta Quando CloudFront verifica la data e l’ora di scadenza in un cookie firmato.

Esempio di dichiarazione di policy per una policy predefinita

Quando utilizzi l'esempio di dichiarazione di policy seguente in un cookie firmato, un utente può accedere al file https://d111111abcdef8.cloudfront.net/horizon.jpg fino al 16 marzo 2015 10:00 UTC:

{
    "Statement": [
        {
            "Resource": "https://d111111abcdef8.cloudfront.net/horizon.jpg?size=large&license=yes",
            "Condition": {
                "DateLessThan": {
                    "AWS:EpochTime": 1426500000
                }
            }
        }
    ]
}

Firma di una dichiarazione di policy per creare una firma per un cookie firmato che utilizza una policy di accesso predefinita

Per creare il valore per l'attributo CloudFront-Signature in un'intestazione Set-Cookie, sottoponi a hashing e firmi la dichiarazione di policy che hai creato in Creazione di una dichiarazione di policy per un cookie firmato che utilizza una policy predefinita.

Per ulteriori informazioni ed esempi su come sottoporre a hashing, firmare e codificare la dichiarazione di policy, consulta i seguenti argomenti:

Creazione di una firma per un cookie firmato che utilizza una policy predefinita

  1. Utilizza la funzione hash SHA-1 e RSA per sottoporre a hashing e firmare la dichiarazione di policy che hai creato nella procedura Creazione di una dichiarazione di policy per un cookie firmato che utilizza una policy predefinita. Utilizza la versione della dichiarazione di policy che non include più spazi vuoti.

    Per la chiave privata richiesta dalla funzione hash, utilizza una chiave privata la cui chiave pubblica si trova in un gruppo di chiavi attendibili attivo per la distribuzione.

    Nota

    Il metodo utilizzato per sottoporre a hashing e firmare la dichiarazione di policy dipende dalla piattaforma e dal linguaggio di programmazione. Per il codice di esempio, consulta Codice di esempio per la creazione di una firma per un URL firmato.

  2. Rimuovi gli spazi vuoti (inclusi i caratteri di nuova riga e le tabulazioni) dalla stringa con hash e firmata.

  3. Codifica la stringa utilizzando la codifica base64 MIME. Per ulteriori informazioni, consulta Section 6.8, Base64 Content-Transfer-Encoding in RFC 2045, MIME (Multipurpose Internet Mail Extensions) Part One: Format of Internet Message Bodies.

  4. Sostituisci i caratteri non validi nella stringa di query dell'URL con caratteri validi. La tabella seguente elenca i caratteri validi e non validi.

    Sostituisci questi caratteri non validi Con questi caratteri validi

    +

    - (trattino)

    =

    _ (carattere di sottolineatura)

    /

    ~ (tilde)

  5. Includi il valore risultante nell'intestazione Set-Cookie per la coppia nome-valore CloudFront-Signature. Quindi ritorna a Definizione di un cookie firmato utilizzando una policy predefinita e aggiungi l'intestazione Set-Cookie per CloudFront-Key-Pair-Id.