メインコンテンツへスキップ
  1. Posts/

CloudFront のレスポンスに Security Headers を追加する

AWS

Amazon CloudFront が設定可能な CORS、セキュリティ、およびカスタム HTTP レスポンスヘッダーをサポート」で Lambda@Edge なしで Response にカスタムヘッダーを追加することが可能になりました。 これを使って、このサイトにも Security Headers を追加してみます。

CloudFront のコンソールで、PoliciesResponse headers にアクセスすると Managed policies があり、次のポリシーが存在します。

  • CORS-and-SecurityHeadersPolicy
  • CORS-With-Preflight
  • CORS-with-preflight-and-SecurityHeadersPolicy
  • SecurityHeadersPolicy
  • SimpleCORS

SecurityHeaders と CORS の組み合わせパターンですね。

SecurityHeadersPolicy ではレスポンスに次の Header がセットされます。

Strict-Transport-Security: max-age=31536000
X-Content-Type-Options:    nosniff
X-Frame-Options:           SAMEORIGIN
X-XSS-Protection:          1; mode=block
Referrer-Policy:           strict-origin-when-cross-origin

これを DistributionsBehaviors の Response headers policy で選択します。