As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Modificação de cabeçalho HTTP para seu Application Load Balancer
A modificação de cabeçalho HTTP tem suporte pelos Application Load Balancers para cabeçalhos de solicitação e de resposta. A modificação do cabeçalho permite que você tenha mais controle sobre o tráfego e a segurança do seu aplicativo sem precisar atualizar o código do seu aplicativo.
Para ativar a modificação do cabeçalho, consulte Habilitar a modificação de cabeçalho.
Renomear mTLS/TLS cabeçalhos
O recurso de renomeação do cabeçalho permite que você configure os nomes dos cabeçalhos mTLS e TLS que o Application Load Balancer gera e adiciona às solicitações.
A capacidade de modificar cabeçalhos HTTP permite que seu Application Load Balancer ofereça suporte facilmente a aplicativos que usam cabeçalhos de solicitação e resposta formatados especificamente.
| Cabeçalho | Description |
|---|---|
|
X-Amzn-Mtls-Clientcert-Serial-Number |
Garante que o destino possa identificar e verificar o certificado específico apresentado pelo cliente durante o handshake do TLS. |
|
X-Amzn-Mtls-Clientcert-Issuer |
Ajuda o destino a validar e autenticar o certificado do cliente identificando a autoridade de certificação que emitiu o certificado. |
|
X-Amzn-Mtls-Clientcert-Subject |
Fornece informações detalhadas ao destino sobre a entidade para a qual o certificado do cliente foi emitido, o que ajuda na identificação, autenticação, autorização e log durante a autenticação do mTLS. |
|
X-Amzn-Mtls-Clientcert-Validity |
Permite que o destino verifique se o certificado do cliente utilizado está dentro do período de validade definido, garantindo que o certificado não tenha expirado ou seja usado prematuramente. |
|
X-Amzn-Mtls-Clientcert-Leaf |
Fornece o certificado do cliente usado no handshake do mTLS, permitindo que o servidor autentique o cliente e valide a cadeia de certificados. Isso garante que a conexão seja segura e autorizada. |
|
X-Amzn-Mtls-Clientcert |
Carrega o certificado completo do cliente. Permite que o destino verifique a autenticidade do certificado, valide a cadeia de certificados e autentique o cliente durante o processo de handshake do mTLS. |
|
X-Amzn-TLS-Version |
Indica a versão do protocolo TLS usada para uma conexão. Isso facilita a determinação do nível de segurança da comunicação, a solução de problemas de conexão e a garantia da conformidade. |
|
X-Amzn-TLS-Cipher-Suite |
Indica a combinação de algoritmos criptográficos usados para proteger uma conexão no TLS. Isso permite que o servidor avalie a segurança da conexão, auxiliando na solução de problemas de compatibilidade e garantindo a conformidade com as políticas de segurança. |
Adicionar cabeçalhos de resposta
Usando cabeçalhos de inserção, você pode configurar seu Application Load Balancer para adicionar cabeçalhos relacionados à segurança às respostas. Com esses atributos, você pode inserir cabeçalhos, incluindo HSTS, CORS e CSP.
Esses cabeçalhos estão vazios por padrão. Quando isso acontece, o Application Load Balancer não modifica esse cabeçalho de resposta.
Quando você ativa um cabeçalho de resposta, o Application Load Balancer adiciona o cabeçalho com o valor configurado a todas as respostas. Se a resposta do destino incluir o cabeçalho de resposta HTTP, o balanceador de carga atualizará o valor do cabeçalho para ser o valor configurado. Caso contrário, o balanceador de carga adicionará o cabeçalho de resposta HTTP à resposta com o valor configurado.
| Cabeçalho | Description |
|---|---|
|
Strict-Transport-Security |
Impõe conexões somente HTTPS pelo navegador por um período especificado, ajudando a proteger contra man-in-the-middle ataques, downgrades de protocolo e erros do usuário, garantindo que todas as comunicações entre o cliente e o alvo sejam criptografadas. |
|
Access-Control-Allow-Origin |
Controla a possibilidade de recursos em um destino serem acessados a partir de diferentes origens. Isso permite interações seguras entre origens, evitando o acesso não autorizado. |
|
Access-Control-Allow-Methods |
Especifica os métodos HTTP permitidos para solicitações de origem cruzada para o destino. Fornece controle sobre quais ações podem ser realizadas de diferentes origens. |
|
Access-Control-Allow-Headers |
Especifica quais cabeçalhos personalizados ou não simples podem ser incluídos em uma solicitação de origem cruzada. Esse cabeçalho dá controle aos destinos sobre quais cabeçalhos podem ser enviados por clientes de diferentes origens. |
|
Access-Control-Allow-Credentials |
Especifica se o cliente deve incluir credenciais como cookies, autenticação HTTP ou certificados de cliente em solicitações de origem cruzada. |
|
Access-Control-Expose-Headers |
Permite que o destino especifique quais cabeçalhos de resposta adicionais podem ser acessados pelo cliente em solicitações de origem cruzada. |
|
Access-Control-Max-Age |
Define por quanto tempo o navegador pode armazenar em cache o resultado de uma solicitação de comprovação, reduzindo a necessidade de repetidas verificações de comprovação. Isso ajuda a otimizar o desempenho ao reduzir o número de solicitações OPTIONS necessárias para determinadas solicitações de origem cruzada. |
|
Content-Security-Policy |
Atributo de segurança que evita ataques de injeção de código, como o XSS, ao controlar quais recursos, como scripts, estilos, imagens etc. podem ser carregados e executados por um site. |
|
X-Content-Type-Options |
Com a diretiva no-sniff, aprimora a segurança da web impedindo que os navegadores adivinhem o tipo MIME de um recurso. Garante que os navegadores interpretem o conteúdo apenas de acordo com o tipo de conteúdo declarado |
|
X-Frame-Options |
Mecanismo de segurança de cabeçalho que ajuda a evitar ataques de clickjacking ao controlar se uma página da web pode ser incorporada em quadros. Valores como DENY e SAMEORIGIN podem garantir que o conteúdo não seja incorporado a sites maliciosos ou não confiáveis. |
Desabilitar cabeçalhos
Você pode configurar seu Application Load Balancer para desativar o cabeçalho server:awselb/2.0 das respostas usando o comando Desabilitar cabeçalhos. Isso reduz a exposição de informações específicas do servidor e adiciona uma camada extra de proteção ao seu aplicativo.
O nome do atributo é routing.http.response.server.enabled. Os valores disponíveis são true ou false. O valor padrão é true.
Limitações
-
Os valores do cabeçalho podem conter os seguintes caracteres
-
Caracteres alfanuméricos:
a-z,A-Ze0-9 -
Caracteres especiais:
_ :;.,\/'?!(){}[]@<>=-+*#&`|~^%
-
-
O valor do atributo não pode exceder 1K bytes de tamanho.
-
O Elastic Load Balancing realiza validações básicas de entrada para verificar se o valor do cabeçalho é válido. Entretanto, a validação não consegue confirmar se o valor é compatível com um cabeçalho específico.
-
Definir um valor vazio para qualquer atributo fará com que o Application Load Balancer volte ao comportamento padrão.
