gpt4 book ai didi

security - 如何在 Amazon S3 上设置 "X-Content-Type-Options : nosniff"?

转载 作者:行者123 更新时间:2023-12-02 22:10:35 32 4
gpt4 key购买 nike

我在静态文件(js、css、jpg、gif、..)上设置标题“X-Content-Type-Options : nosniff”时遇到问题.) 在我的 Amazon S3 存储桶上。

当我尝试添加它时,它对我说:“用户定义的元数据键必须以 x-amz-meta- 开头。”

如何做到这一点?我应该执行“x-amz-meta-X-Content-Type-Options

提前致谢!

最佳答案

用户定义的元数据确实必须以 x-amz-meta-* 开头,但这对您没有帮助 - 它们也会返回x获取对象时使用 -amz-meta-* header ,浏览器将无法识别 x-amz-meta-X-Content-Type-Options

S3 对不以 x-amz-meta-* 开头的 header 的支持非常有限。 Content-TypeContent-DispositionContent-Encoding 有效,但大多数其他无效。

this support forum post指示(并测试确认)如果将此类 header 添加到上传中(直接使用 S3 API 时),它们将被忽略。它们不会被存储,也不会随响应一起返回。

一个已知但未记录的异常(exception)是 X-Robots-Tag,S3 确实接受该异常并将随响应返回,但如果您使用以下命令添加它,AWS 控制台将不允许您编辑它: API。

很快就会推出的一种可能的解决方法是 Lambda@Edge ,这是 Lambda 和 CloudFront 之间的集成,其中 Lambda 函数在 CloudFront 网络内运行,可以修改 CloudFront 进出的请求和响应 header ...当然,CloudFront 与 S3 集成得很好,因此这可能是一个可行的方案一旦 Lambda@Edge 普遍可用,即可选择。

我对此进行了测试(我注册了 Lambda@Edge 的预览版。我还没有正式收到我已被授予访问权限的消息,但它似乎正在工作。)

使用此 Lambda 函数代码:

'use strict';
exports.handler = (event, context, callback) => {
const response = event.Records[0].cf.response;
const headers = response.headers;
headers['X-Content-Type-Options'] = ['nosniff'];
callback(null, response);
};

...给出此响应...

$ curl -v http://dxxxexample.cloudfront.net/robots.txt
* Hostname was NOT found in DNS cache
* Trying x.x.x.x...
* Connected to dxxxexample.cloudfront.net (x.x.x.x) port 80 (#0)
> GET /robots.txt HTTP/1.1
> User-Agent: curl/7.35.0
> Host: dxxxexample.cloudfront.net
> Accept: */*
>
< HTTP/1.1 200 OK
< Content-Type: text/plain
< Content-Length: 324
< Connection: keep-alive
< Date: Tue, 10 Jan 2017 20:38:33 GMT
< Last-Modified: Tue, 10 Jan 2017 17:13:36 GMT
< ETag: "dbe2f9a267e8ef192f0fdf0c888da01c"
< Cache-Control: no-cache
< Accept-Ranges: bytes
* Server AmazonS3 is not blacklisted
< Server: AmazonS3
< Via: 1.1 xxxxxxxxxx.cloudfront.net (CloudFront)
< X-Content-Type-Options: nosniff
< X-Cache: Miss from cloudfront
< X-Amz-Cf-Id: xxxxx
<
User-agent: *
Disallow: /

...所以这似乎是一个可行的解决方法。

我将此函数配置为在“查看者响应”上触发(触发器触发以允许在响应从 CloudFront 返回到浏览器之前修改响应),但实际上它可能会在“原始响应”上触发,需要它降低运行频率(假设与上面的示例不同,您没有使用 Cache-Control: no-cache,就像我在测试中所做的那样。我使用了 /robots.txt 只是因为我碰巧已经将其与 CloudFront 和 Lambda 一起设置在存储桶中 - 显然这个文件对于 X-Content-Type-Options 来说并不是一个特别有趣的应用程序,但是如您所见,这确实有效)。

我不知道 Lambda@Edge 何时发布预览版。

如果您想将此作为 S3 本身的功能请求提交,您可以联系您的 AWS 客户代表(如果有),或者在 AWS 支持论坛中发布相关内容。 (我不隶属于 AWS)。

关于security - 如何在 Amazon S3 上设置 "X-Content-Type-Options : nosniff"?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41573742/

32 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com