I have done a security vulnerability scan against my hosted site behind ALB with WAF integration. The scan reported the following: Content Security Policy (CSP) Missing csp_no_policy_v2 Recommendation: - Implement a Content Security Policy (CSP) by configuring HTTP headers on your web server. I have been poking around the ALB Attribute settings and WAF rules but can't seem to find where I can add the CSP HTTP header configuration. Any help is greatly appreciated. Thank You

Is Content Security Policy (CSP) available for AWS ALB or WAF?

I have done a security vulnerability scan against my hosted site behind ALB with WAF integration. The scan reported the following:

Content Security Policy (CSP) Missing csp_no_policy_v2

Recommendation:

Implement a Content Security Policy (CSP) by configuring HTTP headers on your web server.

I have been poking around the ALB Attribute settings and WAF rules but can't seem to find where I can add the CSP HTTP header configuration. Any help is greatly appreciated.

Thank You

トピック

セキュリティ、アイデンティティ、コンプライアンスネットワークとコンテンツ配信 AWS Well-Architected Framework

タグ

AWS WAF 弾力性のあるロードバランシングセキュリティ

言語

English

paulbe

質問済み 1ヶ月前570ビュー

1回答

新しい順
投票が多い順
コメントが多い順

承認された回答

Both ALB and WAF are unable to add CSP HTTP header. You can configure your host web server to include the necessary CSP header.

Alternatively, you can put Amazon CloudFront in front of your ALB, and use either a managed or custom Response Headers Policy (screen shot below)

Enter image description here

エキスパート

Mike_L

回答済み 1ヶ月前

エキスパート

Osvaldo Marte

レビュー済み 1ヶ月前

エキスパート

Mikel Del Tio

レビュー済み 1ヶ月前

関連するコンテンツ

OpenSearch Service - Security Analytics - Detectors - Log typesの不具合
Tom
質問済み 6ヶ月前
I AM内の各ページや他サービスへのアクセス権限を復活させられません
Takashi5223
質問済み 6年前
[よくある質問]最初のセキュリティガイドでAWS Security HubとAmazon GuardDutyが推奨される背景はなんですか？いづれかのみでは不十分でしょうか？
承認された回答
rePost-User-0992985
質問済み 5ヶ月前
RDS for MySQL 8.0.35でPlugin mysql_native_password reported: ''mysql_native_password' is deprecated and will be removed in a future release. Please use caching_sha2_password instead'のエラーが継続して発生する
parma
質問済み 4ヶ月前
AWS WAF Classic から AWS WAF に移行するにはどうすればよいですか? また、移行中のダウンタイムはどれくらいですか?
AWS公式更新しました 2年前
Amazon EC2 上で Java アプリケーションを実行する際に発生する「The security token included in the request is expired」(リクエストに含まれているセキュリティトークンが失効しています) というエラーを解決するにはどうすればよいですか?
AWS公式更新しました 2年前
AWS WAF を使用して直接トラフィックを ALB に制限し、CloudFront のみを通過するトラフィックを許可する方法を教えてください。
AWS公式更新しました 2年前
AWS WAF の AWS Marketplace ルールグループに関して、どのようなサポートを利用できますか?
AWS公式更新しました 2年前
AWS Application Migration Service (MGN) とエージェントレス vCenter クライアントを利用して VMware 仮想環境から AWS への移行を加速させる
エキスパート
Koichi Takeda
公開済み 8日前
アベイラビリティーゾーン (AZ) の移行&インスタンスのアップグレードガイド
エキスパート
Sumikawa_M
公開済み 3ヶ月前