发布于: Nov 2, 2021
今天,Amazon CloudFront 启动对响应标题策略的支持。您现在可以添加跨源资源共享 (CORS)、安全和自定义标题到由您的 CloudFront 分配返回的 HTTP 响应。您不再需要配置您的源或使用自定义 Lambda@Edge 或 CloudFront 函数来插入这些标题。
您可以使用 CloudFront 响应标题策略来保护您的应用程序的通信并对其行为进行自定义。借助 CORS 标题,您可以指定允许什么源的 Web 应用程序访问资源。您可以插入以下任何安全标题,以便在 Web 应用程序和服务器之间交换与安全相关的信息:HTTP 严格传输安全 (HSTS)、X-XSS-Protection、X-Content-Type-Options、X-Frame-Options、Referrer-Policy 和 Content-Security-Policy。例如,HSTS 强制要求使用加密 HTTPS 连接,而不是纯文本 HTTP。您还可以使用响应标题策略添加可自定义的键值对到响应标题,以修改 Web 应用程序行为。Lambda@Edge 函数和 CloudFront 函数也可以访问您插入的响应标题,在边缘实现更多高级自定义逻辑。
在此版本中,CloudFront 还提供多种预配置的响应标题策略。其中包括默认安全标题策略、允许从任何源共享资源的 CORS 策略、允许全部 HTTP 方法的启动前 CORS 策略,以及结合默认安全标题和 CORS 或启动前 CORS 的策略。您还可以为各种内容和应用程序配置文件创建自己的自定义策略,并将其应用到可能有相似特性的任何 CloudFront 分配的缓存行为。
您可以通过 CloudFront 控制台、AWS SDK 和 AWS CLI 立即使用 CloudFront 响应标题策略。要了解更多信息,请参阅 CloudFront 开发人员指南。使用 CloudFront 响应标题策略不会产生额外费用。