亚马逊说我们可以使用CloudFront 响应标头策略 https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-cloudfront-introduces-response-headers-policies/为 S3 存储桶提供的静态/Angular Web 包设置内容安全策略。
To that end, I defined a policy (to allow src-style 'unsafe-inline'):
And attached it to my distribution:
CloudFront 控制台和 API 查询均确认策略已链接; 但是当我访问内容(curl 或 Chrome)时,标头仍然包含:
content-security-policy: default-src 'none'; img-src 'self'; script-src 'self'; style-src 'self'; object-src 'none'
(所以Chrome拒绝样式元素)
缓存被禁用。
我知道CF有更新的政策: 我可以在源上设置备用自定义标头(有效),当我将其替换为 CSP 时,X-diddle 标头消失,但 CSP 不会替换它!) TTBOMK 没有来自 S3-Origin 的元数据(但无论如何我们说覆盖)
我该怎么做才能促使 CF 发送指定的内容安全策略?
好的。没关系: 有一个CloudFrontfunction附加到干预响应和的分布该功能正在设置内容安全策略
