使用托管式响应标头策略 - Amazon CloudFront
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用托管式响应标头策略

借助 CloudFront 响应标头策略,您可以指定 Amazon CloudFront 将在它发送给查看器的响应中删除或添加的 HTTP 标头。有关响应标头策略以及使用它们的原因的更多信息,请参阅使用策略在 CloudFront 响应中添加或删除 HTTP 标头

CloudFront 提供的托管式响应标头策略可以附加到 CloudFront 分配中的缓存行为。借助托管式响应标头策略,您无需编写或维护自己的策略。托管式策略包含针对常见使用案例的一组 HTTP 响应标头。

要使用托管式响应标头策略,您需要将它附加到分配中的缓存行为。此过程与创建自定义响应标头策略的过程相同。但是,您不需要创建新策略,只需附加其中一个托管式策略即可。您可以按名称(使用控制台)或 ID(使用 Amazon CloudFormation、Amazon CLI或Amazon开发工具包)来附加策略。以下部分列出了名称和 ID。

有关更多信息,请参阅 创建响应标头策略

下面的主题介绍了您可以使用的托管响应标头策略。

CORS-and-SecurityHeadersPolicy

在 CloudFront 控制台中查看此策略

使用此托管式策略以允许来自任何源的简单 CORS 请求。此策略还会在 CloudFront 发送给查看器的所有响应中添加一组安全标头。此策略将 SimpleCORSSecurityHeadersPolicy 策略组合为一个策略。

在使用 Amazon CloudFormation、Amazon CLI 或 CloudFront API 时,此策略的 ID 为:

e61eb60c-9c35-4d20-a928-2b84e02af89c

策略设置
标头名称 标头值 覆盖源?
CORS 标头: Access-Control-Allow-Origin *
安全标头: Referrer-Policy strict-origin-when-cross-origin
Strict-Transport-Security max-age=31536000
X-Content-Type-Options nosniff
X-Frame-Options SAMEORIGIN
X-XSS-Protection 1; mode=block

CORS-With-Preflight

在 CloudFront 控制台中查看此策略

使用此托管式策略以允许来自任何源的 CORS 请求,包括预检请求。对于预检请求(使用 HTTP OPTIONS 方法),CloudFront 会将下面的三个标头全部添加到响应中。对于简单 CORS 请求,CloudFront 将只添加 Access-Control-Allow-Origin 标头。

如果 CloudFront 从源收到的响应包括其中的任何标头,CloudFront 将在它对查看器的响应中使用收到的标头(及其值)。CloudFront 在此策略中不使用标头。

在使用 Amazon CloudFormation、Amazon CLI 或 CloudFront API 时,此策略的 ID 为:

5cc3b908-e619-4b99-88e5-2cf7f45965bd

策略设置
标头名称 标头值 覆盖源?
CORS 标头: Access-Control-Allow-Methods DELETE, GET, HEAD, OPTIONS, PATCH, POST, PUT
Access-Control-Allow-Origin *
Access-Control-Expose-Headers *

CORS-with-preflight-and-SecurityHeadersPolicy

在 CloudFront 控制台中查看此策略

使用此托管式策略以允许来自任何源的 CORS 请求。这包括预检请求。此策略还会在 CloudFront 发送给查看器的所有响应中添加一组安全标头。此策略将 CORS-With-PreflightSecurityHeadersPolicy 策略组合为一个策略。

在使用 Amazon CloudFormation、Amazon CLI 或 CloudFront API 时,此策略的 ID 为:

eaab4381-ed33-4a86-88ca-d9558dc6cd63

策略设置
标头名称 标头值 覆盖源?
CORS 标头: Access-Control-Allow-Methods DELETE, GET, HEAD, OPTIONS, PATCH, POST, PUT
Access-Control-Allow-Origin *
Access-Control-Expose-Headers *
安全标头: Referrer-Policy strict-origin-when-cross-origin
Strict-Transport-Security max-age=31536000
X-Content-Type-Options nosniff
X-Frame-Options SAMEORIGIN
X-XSS-Protection 1; mode=block

SecurityHeadersPolicy

在 CloudFront 控制台中查看此策略

使用此托管式策略以在 CloudFront 发送给查看器的所有响应中添加一组安全标头。有关这些安全标头的更多信息,请参阅 Mozilla 的 Web 安全指南

借助此响应标头策略,CloudFront 将 X-Content-Type-Options: nosniff 添加到所有响应中。当 CloudFront 从源收到的响应包含或不包含此标头时,都是这种情况。对于此策略中的所有其他标头,如果 CloudFront 从源收到的响应包括该标头,CloudFront 将在它对查看器的响应中使用收到的标头(及其值)。它在此策略中不使用标头。

在使用 Amazon CloudFormation、Amazon CLI 或 CloudFront API 时,此策略的 ID 为:

67f7725c-6f97-4210-82d7-5512b31e9d03

策略设置
标头名称 标头值 覆盖源?
安全标头: Referrer-Policy strict-origin-when-cross-origin
Strict-Transport-Security max-age=31536000
X-Content-Type-Options nosniff
X-Frame-Options SAMEORIGIN
X-XSS-Protection 1; mode=block

SimpleCORS

在 CloudFront 控制台中查看此策略

使用此托管式策略以允许来自任何源的简单 CORS 请求。使用此策略时,CloudFront 会在简单 CORS 请求的所有响应中添加标头 Access-Control-Allow-Origin: *

如果 CloudFront 从源收到的响应包括 Access-Control-Allow-Origin 标头,CloudFront 将在它对查看器的响应中使用该标头(及其值)。CloudFront 在此策略中不使用标头。

在使用 Amazon CloudFormation、Amazon CLI 或 CloudFront API 时,此策略的 ID 为:

60669652-455b-4ae9-85a4-c4c02393f86c

策略设置
标头名称 标头值 覆盖源?
CORS 标头: Access-Control-Allow-Origin *