Veröffentlicht am: Jan 13, 2023
Amazon CloudFront unterstützt jetzt die Header „CloudFront-Viewer-Header-Order“ und „CloudFront-Viewer-Header-Count“, sodass Kunden die Gesamtzahl der mit jeder Anfrage gesendeten HTTP-Header sowie die Reihenfolge verfolgen können, in der die Header gesendet wurden. Kunden können die beiden Header verwenden, um Anforderungsmuster zu erkennen und zu identifizieren und sie mit den erwarteten und legitimen Mustern zu vergleichen. Dies kann in Verbindung mit anderen Zugriffskontrollregeln dazu beitragen, dass Kunden Versuche, Anfragen zu fälschen, erkennen und blockieren.
Der Header „CloudFront-Viewer-Header-Order“ enthält eine Liste von Anfrage-Headern in der angegebenen Reihenfolge, getrennt durch Doppelpunkte. Zum Beispiel „CloudFront-Viewer-Header-Order: Host:User-Agent:Accept:Accept-Encoding“. Der Header „CloudFront-Viewer-Header-Count“ speichert die Gesamtzahl der Anforderungsheader. Zum Beispiel „CloudFront-Viewer-Header-Count: 4". Kunden verwenden AWS WAF Access Control Rules (ACLs) und ihre eigenen Zugriffskontrollmaßnahmen, um die Fingerabdrücke von Anfragen mithilfe von CloudFront-Headern wie „CloudFront-Viewer-JA3-Fingerprint“ und „CloudFront-Viewer-TLS“ zu erkennen. Mit der heutigen Einführung neuer Header können Kunden ihre Maßnahmen zur Zugriffskontrolle weiter verstärken, indem sie zusätzliche Dimensionen der Anfragemetadaten überprüfen. Beispielsweise senden Browser mit derselben HTTP-Protokollversion normalerweise HTTP-Header in einer bestimmten Reihenfolge. Wenn der im User-Agent-Header angegebene Browsertyp nicht der Reihenfolge der Anfrageheader entspricht, stammt die Anfrage möglicherweise nicht von der beanspruchten Quelle. Wenn der Wert des Headers mit der Anzahl der Kopfzeilen nicht mit der Anzahl der Header im Header-Reihenfolge-Header übereinstimmt, können Kunden außerdem weiter nachforschen, um zu überprüfen, ob die Anfrage von einer gefälschten Quelle stammt. Kunden können diese beiden Header zu ihrer Origin Request Policy hinzufügen. Diese Header können dann verwendet werden, um benutzerdefinierte Logik auf ihrem Ursprungsserver oder am Edge mithilfe von CloudFront-Funktionen und Lambda@Edge zu erstellen.
Die Header „CloudFront-Viewer-Header-Order“ und „CloudFront-Viewer-Header-Count“ sind sofort an allen CloudFront-Edge-Standorten verfügbar. Sie können sie in der CloudFront-Konsole oder mithilfe des AWS-SDK aktivieren, und für die Verwendung dieser Header fallen keine zusätzlichen Gebühren an. Weitere Informationen finden Sie im CloudFront-Entwicklerhandbuch.