Publicado en: Jan 13, 2023
Amazon CloudFront ahora admite los encabezados “CloudFront-viewer-header-order” y “CloudFront-viewer-header-count”, lo que permite a los clientes rastrear el número total de encabezados HTTP enviados con cada solicitud, así como el orden en que se enviaron los encabezados. Los clientes pueden usar los dos encabezados para detectar e identificar patrones de solicitud y compararlos con los patrones esperados y legítimos. Esto, utilizado junto con otras reglas de control de acceso, puede ayudar a los clientes a detectar y bloquear cualquier intento de falsificación de solicitudes.
El encabezado “Cloudfront-viewer-header-order” contiene una lista de los encabezados de solicitud, en el orden especificado, separados por dos puntos. Por ejemplo, “Cloudfront-viewer-header-order: Host:User-Agent:Accept:Accept-Encoding”. El encabezado “Cloudfront-viewer-header-count” almacena el número total de encabezados de solicitud. Por ejemplo, “Cloudfront-viewer-header-count: 4”. Los clientes han utilizado las reglas de control de acceso (ACL) de AWS WAF y han creado sus propias medidas de control de acceso para detectar las huellas dactilares de las solicitudes mediante los encabezados de CloudFront, como los encabezados “Cloudfront-viewer-ja3-fingerprint” y “CloudFront-viewer-tls”. Con el lanzamiento hoy de los nuevos encabezados, los clientes pueden reforzar aún más sus medidas de control de acceso mediante la verificación de dimensiones adicionales de los metadatos de las solicitudes. Por ejemplo, los navegadores con la misma versión del protocolo HTTP suelen enviar los encabezados HTTP en un orden determinado. Si el tipo de navegador indicado por el encabezado user-agent (agente usuario) no se corresponde con el orden de los encabezados de solicitud, es posible que la solicitud no provenga de la fuente declarada. Además, si el valor del encabezado de recuento de encabezados no coincide con el número de encabezados en el encabezado de orden de encabezados, los clientes pueden investigar más a fondo para comprobar si la solicitud proviene de una fuente falsificada. Los clientes pueden añadir estos dos encabezados a su política de solicitud de origen. Estos encabezados luego se pueden usar para crear una lógica personalizada en su servidor de origen o en la periferia mediante las funciones de CloudFront y Lambda@Edge.
Los encabezados “Cloudfront-viewer-header-order” y “Cloudfront-viewer-header-count” están disponibles inmediatamente en todas las ubicaciones periféricas de CloudFront. Puede habilitarlos en la consola de CloudFront o mediante el SDK de AWS, y no se aplican cargos adicionales por usar estos encabezados. Para obtener más información, consulte la Guía para desarrolladores de CloudFront.