使用托管式响应标头策略
借助 CloudFront 响应标头策略,您可以指定 Amazon CloudFront 将在它发送给查看器的响应中删除或添加的 HTTP 标头。有关响应标头策略以及使用它们的原因的更多信息,请参阅使用策略在 CloudFront 响应中添加或删除 HTTP 标头。
CloudFront 提供的托管式响应标头策略可以附加到 CloudFront 分配中的缓存行为。借助托管式响应标头策略,您无需编写或维护自己的策略。托管式策略包含针对常见使用案例的一组 HTTP 响应标头。
要使用托管式响应标头策略,您需要将它附加到分配中的缓存行为。此过程与创建自定义响应标头策略的过程相同。但是,您不需要创建新策略,只需附加其中一个托管式策略即可。您可以按名称(使用控制台)或 ID(使用 AWS CloudFormation、AWS CLI或AWS开发工具包)来附加策略。以下部分列出了名称和 ID。
有关更多信息,请参阅 创建响应标头策略。
下面的主题介绍了您可以使用的托管响应标头策略。
主题
CORS-and-SecurityHeadersPolicy
使用此托管式策略以允许来自任何源的简单 CORS 请求。此策略还会在 CloudFront 发送给查看器的所有响应中添加一组安全标头。此策略将 SimpleCORS 和 SecurityHeadersPolicy 策略组合为一个策略。
在使用 AWS CloudFormation、AWS CLI 或 CloudFront API 时,此策略的 ID 为:
e61eb60c-9c35-4d20-a928-2b84e02af89c
| 标头名称 | 标头值 | 覆盖源? | |
|---|---|---|---|
| CORS 标头: | Access-Control-Allow-Origin |
* |
否 |
| 安全标头: | Referrer-Policy |
strict-origin-when-cross-origin |
否 |
Strict-Transport-Security |
max-age=31536000 |
否 | |
X-Content-Type-Options |
nosniff |
是 | |
X-Frame-Options |
SAMEORIGIN |
否 | |
X-XSS-Protection |
1; mode=block |
否 |
CORS-With-Preflight
使用此托管式策略以允许来自任何源的 CORS 请求,包括预检请求。对于预检请求(使用 HTTP OPTIONS 方法),CloudFront 会将下面的三个标头全部添加到响应中。对于简单 CORS 请求,CloudFront 将只添加 Access-Control-Allow-Origin 标头。
如果 CloudFront 从源收到的响应包括其中的任何标头,CloudFront 将在它对查看器的响应中使用收到的标头(及其值)。CloudFront 在此策略中不使用标头。
在使用 AWS CloudFormation、AWS CLI 或 CloudFront API 时,此策略的 ID 为:
5cc3b908-e619-4b99-88e5-2cf7f45965bd
| 标头名称 | 标头值 | 覆盖源? | |
|---|---|---|---|
| CORS 标头: | Access-Control-Allow-Methods |
DELETE, GET, HEAD,
OPTIONS, PATCH, POST,
PUT |
否 |
Access-Control-Allow-Origin |
* |
||
Access-Control-Expose-Headers |
* |
CORS-with-preflight-and-SecurityHeadersPolicy
使用此托管式策略以允许来自任何源的 CORS 请求。这包括预检请求。此策略还会在 CloudFront 发送给查看器的所有响应中添加一组安全标头。此策略将 CORS-With-Preflight 和 SecurityHeadersPolicy 策略组合为一个策略。
在使用 AWS CloudFormation、AWS CLI 或 CloudFront API 时,此策略的 ID 为:
eaab4381-ed33-4a86-88ca-d9558dc6cd63
| 标头名称 | 标头值 | 覆盖源? | |
|---|---|---|---|
| CORS 标头: | Access-Control-Allow-Methods |
DELETE, GET, HEAD,
OPTIONS, PATCH, POST,
PUT |
否 |
Access-Control-Allow-Origin |
* |
||
Access-Control-Expose-Headers |
* |
||
| 安全标头: | Referrer-Policy |
strict-origin-when-cross-origin |
否 |
Strict-Transport-Security |
max-age=31536000 |
否 | |
X-Content-Type-Options |
nosniff |
是 | |
X-Frame-Options |
SAMEORIGIN |
否 | |
X-XSS-Protection |
1; mode=block |
否 |
SecurityHeadersPolicy
使用此托管式策略以在 CloudFront 发送给查看器的所有响应中添加一组安全标头。有关这些安全标头的更多信息,请参阅 Mozilla 的 Web 安全指南
借助此响应标头策略,CloudFront 将 X-Content-Type-Options:
nosniff 添加到所有响应中。当 CloudFront 从源收到的响应包含或不包含此标头时,都是这种情况。对于此策略中的所有其他标头,如果 CloudFront 从源收到的响应包括该标头,CloudFront 将在它对查看器的响应中使用收到的标头(及其值)。它在此策略中不使用标头。
在使用 AWS CloudFormation、AWS CLI 或 CloudFront API 时,此策略的 ID 为:
67f7725c-6f97-4210-82d7-5512b31e9d03
| 标头名称 | 标头值 | 覆盖源? | |
|---|---|---|---|
| 安全标头: | Referrer-Policy |
strict-origin-when-cross-origin |
否 |
Strict-Transport-Security |
max-age=31536000 |
否 | |
X-Content-Type-Options |
nosniff |
是 | |
X-Frame-Options |
SAMEORIGIN |
否 | |
X-XSS-Protection |
1; mode=block |
否 |
SimpleCORS
使用此托管式策略以允许来自任何源的简单 CORS 请求Access-Control-Allow-Origin: *。
如果 CloudFront 从源收到的响应包括 Access-Control-Allow-Origin 标头,CloudFront 将在它对查看器的响应中使用该标头(及其值)。CloudFront 在此策略中不使用标头。
在使用 AWS CloudFormation、AWS CLI 或 CloudFront API 时,此策略的 ID 为:
60669652-455b-4ae9-85a4-c4c02393f86c
| 标头名称 | 标头值 | 覆盖源? | |
|---|---|---|---|
| CORS 标头: | Access-Control-Allow-Origin |
* |
否 |
