Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Is Content Security Policy (CSP) available for AWS ALB or WAF?

0

I have done a security vulnerability scan against my hosted site behind ALB with WAF integration. The scan reported the following:

Content Security Policy (CSP) Missing csp_no_policy_v2

Recommendation:

  • Implement a Content Security Policy (CSP) by configuring HTTP headers on your web server.

I have been poking around the ALB Attribute settings and WAF rules but can't seem to find where I can add the CSP HTTP header configuration. Any help is greatly appreciated.

Thank You

Themen
Sicherheit, Identität & KonformitätVernetzung & Bereitstellung von InhaltenAWS Framework mit guter Struktur
Tags
AWS WAFElastic Load BalancingSicherheit
Sprache
English
paulbe
gefragt vor einem Monat570 Aufrufe
1 Antwort
1
Akzeptierte Antwort

Both ALB and WAF are unable to add CSP HTTP header. You can configure your host web server to include the necessary CSP header.

Alternatively, you can put Amazon CloudFront in front of your ALB, and use either a managed or custom Response Headers Policy (screen shot below)

Enter image description here

AWS
EXPERTE
Mike_L
beantwortet vor einem Monat
profile picture
EXPERTE
Osvaldo Marte
überprüft vor einem Monat
profile picture
EXPERTE
Mikel Del Tio
überprüft vor einem Monat

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt