En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post

Is Content Security Policy (CSP) available for AWS ALB or WAF?

0

I have done a security vulnerability scan against my hosted site behind ALB with WAF integration. The scan reported the following:

Content Security Policy (CSP) Missing csp_no_policy_v2

Recommendation:

  • Implement a Content Security Policy (CSP) by configuring HTTP headers on your web server.

I have been poking around the ALB Attribute settings and WAF rules but can't seem to find where I can add the CSP HTTP header configuration. Any help is greatly appreciated.

Thank You

Sujets
Sécurité, identité et conformitéRéseaux et diffusion de contenuFramework AWS Well-Architected
Balises
AWS WAFElastic Load BalancingSécurité
Langue
English
paulbe
demandé il y a un mois570 vues
1 réponse
1
Réponse acceptée

Both ALB and WAF are unable to add CSP HTTP header. You can configure your host web server to include the necessary CSP header.

Alternatively, you can put Amazon CloudFront in front of your ALB, and use either a managed or custom Response Headers Policy (screen shot below)

Enter image description here

AWS
EXPERT
Mike_L
répondu il y a un mois
profile picture
EXPERT
Osvaldo Marte
vérifié il y a un mois
profile picture
EXPERT
Mikel Del Tio
vérifié il y a un mois

Vous n'êtes pas connecté. Se connecter pour publier une réponse.

Une bonne réponse répond clairement à la question, contient des commentaires constructifs et encourage le développement professionnel de la personne qui pose la question.

Instructions pour répondre aux questions

Contenus pertinents