Amazon web services 防止;单击“劫持”;又名;“用户界面补救攻击”;通过AWS安全web服务
可以通过WAF或CloudFront等AWS安全服务防止点击劫持或“UI补救攻击” 众所周知,某些安全HTTP头可以添加到用户请求中,这些请求将指示浏览器强制执行某些安全措施,如下所示:Amazon web services 防止;单击“劫持”;又名;“用户界面补救攻击”;通过AWS安全web服务,amazon-web-services,amazon-ec2,Amazon Web Services,Amazon Ec2,可以通过WAF或CloudFront等AWS安全服务防止点击劫持或“UI补救攻击” 众所周知,某些安全HTTP头可以添加到用户请求中,这些请求将指示浏览器强制执行某些安全措施,如下所示: 严格的运输安全 内容安全策略 X-Content-Type-Options X-Frame-Options X-XSS-Protection 推荐人政策 可以在后端代码级别配置这些参数,但是,我想知道是否希望不在应用程序级别设置这些参数,这可以在AWS级别使用任何安全网关服务(如WAF或CloudFron
- 严格的运输安全
- 内容安全策略
- X-Content-Type-Options
- X-Frame-Options
- X-XSS-Protection
- 推荐人政策
可以在后端代码级别配置这些参数,但是,我想知道是否希望不在应用程序级别设置这些参数,这可以在AWS级别使用任何安全网关服务(如WAF或CloudFront)来完成吗?您可以在服务器级别通过添加标题来响应以下链接中提到的内容:
x-frame-options
和referrer policy
这是相当便宜的,计算出每百万个请求大约30美分
这详细描述了如何执行此操作
此处重复整个内容太长,但基本上描述了以下流程:
以下是该过程的工作原理:
'use strict';
exports.handler = (event, context, callback) => {
//Get contents of response
const response = event.Records[0].cf.response;
const headers = response.headers;
//Set new headers
headers['strict-transport-security'] = [{key: 'Strict-Transport-Security', value: 'max-age=63072000; includeSubdomains; preload'}];
headers['content-security-policy'] = [{key: 'Content-Security-Policy', value: "default-src 'none'; img-src 'self'; script-src 'self'; style-src 'self'; object-src 'none'"}];
headers['x-content-type-options'] = [{key: 'X-Content-Type-Options', value: 'nosniff'}];
headers['x-frame-options'] = [{key: 'X-Frame-Options', value: 'DENY'}];
headers['x-xss-protection'] = [{key: 'X-XSS-Protection', value: '1; mode=block'}];
headers['referrer-policy'] = [{key: 'Referrer-Policy', value: 'same-origin'}];
//Return modified response
callback(null, response);
};