投稿日: Jan 3, 2023
Amazon CloudFront では、レスポンスヘッダーポリシーを使用したレスポンスヘッダーの削除がサポートされるようになりました。これにより、お客様は CloudFront から提供された特定のヘッダーをネイティブに削除できるようになります。ヘッダーの追加とオーバーライドを行う既存機能に加えてこの新機能を使用することで、レスポンスヘッダーを柔軟にカスタマイズできます。
これまでは、レスポンスヘッダーポリシーを使用して、Amazon CloudFront がビューアーに送信するレスポンスに含める HTTP ヘッダー (CORS ヘッダー、セキュリティヘッダー、カスタムヘッダーなど) を指定できました。今回の対応により、レスポンスヘッダーポリシーを使用して、ビューアーに送信されるヘッダーを選択的に削除できるようになります。これにより、アプリケーションロジックや CDN 固有のキャッシュポリシーに必要であっても共有の必要はないヘッダーを非表示にできます。例えば、お客様のブログアプリケーションで「x-powered-by」ヘッダーを送信している場合、このヘッダーが表示されると、そのテクノロジーに関する特定の既知の脆弱性について攻撃者の標的になる可能性があります。これを防ぐために、レスポンスヘッダーポリシーを使用してレスポンスがビューアーに送信されないようにできます。さらに、オリジンが「Vary」ヘッダーを生成して、オリジンのレスポンスに影響を与えたヘッダーを示すこともありますが、この情報はビューアーには必要ない可能性があり、レスポンスヘッダーポリシーを使用して削除できます。
レスポンスヘッダーポリシーを使用したヘッダーの削除は、CloudFront コンソール、AWS SDK、AWS CLI から利用できます。この機能に関連する追加料金は発生しません。一部の HTTP ヘッダーは読み取り専用であるかアクセスができません。その場合は削除できない点に注意してください。削除できないヘッダーの詳細については、エッジ関数に対する制限をご覧ください。CloudFront の使用を開始するには、CloudFront の製品ページをご覧ください。