亚马逊说我们可以使用CloudFront 响应标头策略 https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-cloudfront-introduces-response-headers-policies/为 S3 存储桶提供的静态/Angular Web 包设置内容安全策略。
To that end, I defined a policy (to allow src-style 'unsafe-inline'):
And attached it to my distribution:
CloudFront 控制台和 API 查询均确认策略已链接;
但是当我访问内容(curl 或 Chrome)时,标头仍然包含:
content-security-policy: default-src 'none'; img-src 'self'; script-src 'self'; style-src 'self'; object-src 'none'
(所以Chrome拒绝样式元素)
缓存被禁用。
我知道CF有更新的政策:
我可以在源上设置备用自定义标头(有效),当我将其替换为 CSP 时,X-diddle 标头消失,但 CSP 不会替换它!)
TTBOMK 没有来自 S3-Origin 的元数据(但无论如何我们说覆盖)
我该怎么做才能促使 CF 发送指定的内容安全策略?
好的。没关系:
有一个CloudFrontfunction附加到干预响应和的分布该功能正在设置内容安全策略
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)