Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post

Is Content Security Policy (CSP) available for AWS ALB or WAF?

0

I have done a security vulnerability scan against my hosted site behind ALB with WAF integration. The scan reported the following:

Content Security Policy (CSP) Missing csp_no_policy_v2

Recommendation:

  • Implement a Content Security Policy (CSP) by configuring HTTP headers on your web server.

I have been poking around the ALB Attribute settings and WAF rules but can't seem to find where I can add the CSP HTTP header configuration. Any help is greatly appreciated.

Thank You

Argomenti
Sicurezza, identità e conformitàNetworking e distribuzione di contenutiAWS Well-Architected Framework
Tag
AWS WAFEquilibratore di carico elasticoSicurezza
Lingua
English
paulbe
posta un mese fa565 visualizzazioni
1 Risposta
1
Risposta accettata

Both ALB and WAF are unable to add CSP HTTP header. You can configure your host web server to include the necessary CSP header.

Alternatively, you can put Amazon CloudFront in front of your ALB, and use either a managed or custom Response Headers Policy (screen shot below)

Enter image description here

AWS
ESPERTO
Mike_L
con risposta un mese fa
profile picture
ESPERTO
Osvaldo Marte
verificato un mese fa
profile picture
ESPERTO
Mikel Del Tio
verificato un mese fa

Accesso non effettuato. Accedi per postare una risposta.

Una buona risposta soddisfa chiaramente la domanda, fornisce un feedback costruttivo e incoraggia la crescita professionale del richiedente.

Linee guida per rispondere alle domande

Contenuto pertinente