使用托管式响应标头策略 - Amazon CloudFront
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

使用托管式响应标头策略

借助 CloudFront 响应标头策略,您可以指定 Amazon CloudFront 将在它发送给查看器的响应中添加的 HTTP 标头。有关响应标头策略以及使用它们的原因的更多信息,请参阅将 HTTP 标头添加到 CloudFront 响应

CloudFront 提供的托管式响应标头策略可以附加到 CloudFront 分配中的缓存行为。借助托管式响应标头策略,您无需编写或维护自己的策略。托管式策略包含针对常见使用案例的一组 HTTP 响应标头。

附加托管式响应标头策略

要使用托管式响应标头策略,您需要将它附加到分配中的缓存行为。此过程与创建自定义响应标头策略的过程相同。但是,您不需要创建新策略,只需附加其中一个托管式策略即可。您可以按名称(使用控制台)或 ID(使用 Amazon CloudFormation、Amazon CLI或Amazon开发工具包)来附加策略。以下部分列出了名称和 ID。

有关更多信息,请参阅创建响应标头策略

可用的托管式响应标头策略

下面的主题介绍了您可以使用的托管式响应标头策略。

CORS 允许所有源

使用此托管式策略以允许来自任何源的简单 CORS 请求。使用此策略时,CloudFront 会在简单 CORS 请求的所有响应中添加标头 Access-Control-Allow-Origin: *

如果 CloudFront 从源收到的响应包括 Access-Control-Allow-Origin 标头,CloudFront 将在它对查看器的响应中使用该标头(及其值)。CloudFront 在此策略中不使用标头。

策略名称:SimpleCORS

策略 ID:60669652-455b-4ae9-85a4-c4c02393f86c

策略设置
标头名称 标头值 覆盖源?
CORS 标头: Access-Control-Allow-Origin *

您还可以在 CloudFront 控制台中查看此策略

CORS 允许所有带预检的源

使用此托管式策略以允许来自任何源的 CORS 请求,包括预检请求。对于预检请求(使用 HTTP OPTIONS 方法),CloudFront 会将下面的三个标头全部添加到响应中。对于简单 CORS 请求,CloudFront 将只添加 Access-Control-Allow-Origin 标头。

如果 CloudFront 从源收到的响应包括其中的任何标头,CloudFront 将在它对查看器的响应中使用收到的标头(及其值)。CloudFront 在此策略中不使用标头。

策略名称:CORS-With-Preflight

策略 ID:5cc3b908-e619-4b99-88e5-2cf7f45965bd

策略设置
标头名称 标头值 覆盖源?
CORS 标头: Access-Control-Allow-Methods DELETE, GET, HEAD, OPTIONS, PATCH, POST, PUT
Access-Control-Allow-Origin *
Access-Control-Expose-Headers *

您还可以在 CloudFront 控制台中查看此策略

安全标头

使用此托管式策略以在 CloudFront 发送给查看器的所有响应中添加一组安全标头。有关这些安全标头的更多信息,请参阅 Mozilla 的 Web 安全指南.

借助此响应标头策略,CloudFront 将 X-Content-Type-Options: nosniff 添加到所有响应中。当 CloudFront 从源收到的响应包含或不包含此标头时,都是这种情况。对于此策略中的所有其他标头,如果 CloudFront 从源收到的响应包括该标头,CloudFront 将在它对查看器的响应中使用收到的标头(及其值)。它在此策略中不使用标头。

策略名称:SecurityHeadersPolicy

策略 ID:67f7725c-6f97-4210-82d7-5512b31e9d03

策略设置
标头名称 标头值 覆盖源?
安全标头: Referrer-Policy strict-origin-when-cross-origin
Strict-Transport-Security max-age=31536000
X-Content-Type-Options nosniff
X-Frame-Options SAMEORIGIN
X-XSS-Protection 1; mode=block

您还可以在 CloudFront 控制台中查看此策略

CORS 允许所有源和安全标头

使用此托管式策略以允许来自任何源的简单 CORS 请求。此策略还会在 CloudFront 发送给查看器的所有响应中添加一组安全标头。此策略将 CORS 允许所有源安全标头 策略组合为一个策略。

策略名称:CORS-and-SecurityHeadersPolicy

策略 ID:e61eb60c-9c35-4d20-a928-2b84e02af89c

策略设置
标头名称 标头值 覆盖源?
CORS 标头: Access-Control-Allow-Origin *
安全标头: Referrer-Policy strict-origin-when-cross-origin
Strict-Transport-Security max-age=31536000
X-Content-Type-Options nosniff
X-Frame-Options SAMEORIGIN
X-XSS-Protection 1; mode=block

您还可以在 CloudFront 控制台中查看此策略

CORS 允许所有带有预检的源和安全标头

使用此托管式策略以允许来自任何源的 CORS 请求。这包括预检请求。此策略还会在 CloudFront 发送给查看器的所有响应中添加一组安全标头。此策略将 CORS 允许所有带预检的源安全标头 策略组合为一个策略。

策略名称:CORS-with-preflight-and-SecurityHeadersPolicy

策略 ID:eaab4381-ed33-4a86-88ca-d9558dc6cd63

策略设置
标头名称 标头值 覆盖源?
CORS 标头: Access-Control-Allow-Methods DELETE, GET, HEAD, OPTIONS, PATCH, POST, PUT
Access-Control-Allow-Origin *
Access-Control-Expose-Headers *
安全标头: Referrer-Policy strict-origin-when-cross-origin
Strict-Transport-Security max-age=31536000
X-Content-Type-Options nosniff
X-Frame-Options SAMEORIGIN
X-XSS-Protection 1; mode=block

您还可以在 CloudFront 控制台中查看此策略