Publié le: Jan 3, 2023
Amazon CloudFront prend désormais en charge la suppression des en-têtes de réponse à l'aide de politiques d'en-têtes de réponse, offrant ainsi aux clients la possibilité de supprimer de façon native les en-têtes spécifiés diffusés par CloudFront. Cette nouvelle fonctionnalité, associée à la possibilité déjà présente d'ajouter et de remplacer des en-têtes, offre aux clients la flexibilité totale pour personnaliser les en-têtes de réponse.
Jusqu'à présent, les politiques des en-têtes de réponse permettaient aux clients de spécifier des en-têtes HTTP qu'Amazon CloudFront ajoute aux réponses envoyées aux utilisateurs, notamment les en-têtes CORS, les en-têtes de sécurité ou les en-têtes personnalisés. Les clients peuvent désormais utiliser des politiques d'en-tête de réponse pour supprimer de manière sélective les en-têtes envoyés aux utilisateurs, en masquant les en-têtes nécessaires à la logique de l'application ou aux politiques de mise en cache spécifiques au réseau de diffusion de contenu (CDN), mais qui n'ont pas besoin d'être partagés. Par exemple, un client peut disposer d'une application de blog qui envoie un en-tête « x-basé-sur » qui, s'il est révélé, pourrait être la cible d'attaques en raison des vulnérabilités connues de la technologie. Pour s'en protéger, le client peut utiliser une politique d'en-tête de réponse afin d'empêcher son envoi aux utilisateurs. En outre, un en-tête « Vary » peut se générer pour indiquer les en-têtes qui ont influencé la réponse d'origine, mais ces informations peuvent ne pas être nécessaires aux utilisateurs et peuvent être supprimées à l'aide d'une politique d'en-tête de réponse.
La suppression des en-têtes à l'aide de politiques d'en-tête de réponse est désormais disponible via la console CloudFront, les kits SDK AWS et l'interface de la ligne de commande AWS (AWS CLI). Cette fonctionnalité n'engendre aucuns frais supplémentaires. Notez que certains en-têtes HTTP sont en lecture seule ou inaccessibles et ne peuvent donc pas être supprimés. Pour plus d'informations sur les en-têtes qui ne peuvent pas être supprimés, consultez la section Restrictions des fonctions Edge. Pour commencer à utiliser CloudFront, veuillez consulter la page produit de CloudFront.