我的应用程序在应用程序 ELB 后面的 EC2 上运行,所有安全 HTTP 标头都在服务器级别设置。我在非工作时间关闭 EC2,并在工作时间重新打开它们。
我们的安全团队在非工作时间扫描应用程序,并且由于未设置响应 503 的 HSTS 标头而返回。随着 EC2 停止,ELB 将返回 503。
我们被要求为所有 5XX 和 4XX 页面添加 HSTS。这需要在 ELB 处理。 有没有办法在 ELB 级别应用自定义标头?或者我们可以使用任何其他服务来处理这个问题吗?
HSTS 代表 HTTP 严格传输安全。它是一种通过 HTTP 标头实现的安全机制(策略),指示 Web 浏览器仅通过安全 HTTPS 连接与网站进行通信。所以基本上这是一个由后端控制的策略,而不是负载均衡器。简而言之,AWS 不会为我们做这件事,因为这是一个复杂的解决方案。
您可以参考以下解决方案,选择适合您的方案 -
1。使用 CloudFront 服务 - 如果您使用 ALB,那么另一种选择是在 ALB 之前使用 Cloudfront。
有关信息,请参阅 - https://repost.aws/knowledge-center/cloudfront-http-security-headers
2.在后端实例上启用 HSTS - 在后端实例中预先配置 HSTS,以便负载均衡器可以通过 https 访问它。