Publicado: Jan 13, 2023
O Amazon CloudFront agora oferece suporte aos cabeçalhos “Cloudfront-viewer-header-order” e “Cloudfront-viewer-header-count”, permitindo que os clientes rastreiem o número total de cabeçalhos HTTP enviados com cada solicitação, bem como a ordem em que os cabeçalhos foram enviados. Os clientes podem usar os dois cabeçalhos para detectar e identificar padrões de solicitação e compará-los com os padrões esperados e legítimos. Isso, usado em conjunto com outras regras de controle de acesso, pode ajudar os clientes a detectar e bloquear qualquer tentativa de falsificar solicitações.
O cabeçalho “Cloudfront-viewer-header-order” contém uma lista de cabeçalhos de solicitação, na ordem especificada e separados por dois pontos. Por exemplo, “Cloudfront-viewer-header-order: Host:User-Agent:Accept:Accept-Encoding”. O cabeçalho “Cloudfront-viewer-header-count” armazena o número total de cabeçalhos de solicitação. Por exemplo, “CloudFront-Viewer-header-count: 4”. Os clientes têm usado as regras de controle de acesso (ACLs) do AWS WAF e criado suas próprias medidas de controle de acesso para detectar as impressões digitais das solicitações usando cabeçalhos do CloudFront, como os cabeçalhos “Cloudfront-viewer-ja3-fingerprint” e “CloudFront-viewer-tls”. Com o lançamento dos novos cabeçalhos hoje, os clientes podem fortalecer ainda mais suas medidas de controle de acesso verificando dimensões adicionais dos metadados da solicitação. Por exemplo, navegadores com a mesma versão do protocolo HTTP geralmente enviam cabeçalhos HTTP em uma determinada ordem. Se o tipo de navegador indicado pelo cabeçalho user-agent não corresponder à ordem dos cabeçalhos da solicitação, significa que a solicitação pode não estar vindo da fonte reivindicada. Além disso, se o valor do cabeçalho da contagem de cabeçalhos não corresponder ao número de cabeçalhos no cabeçalho do pedido de cabeçalho, os clientes poderão investigar mais para verificar se a solicitação vem de uma fonte falsificada. Os clientes podem adicionar esses dois cabeçalhos à Política de Solicitação de Origem. Esses cabeçalhos podem então ser usados para construir uma lógica personalizada no servidor de origem ou na borda usando o CloudFront Functions e o Lambda@Edge.
Os cabeçalhos “Cloudfront-viewer-header-order” e “Cloudfront-viewer-header-count” estão imediatamente disponíveis em todos os locais da borda do CloudFront. Você pode habilitá-los no console do CloudFront ou usando o AWS SDK, e não há taxas adicionais pelo uso desses cabeçalhos. Para obter mais informações, consulte o Guia do desenvolvedor do CloudFront.