禁用 CloudFront 的详细响应标头以满足 Veracode 的要求?

禁用 CloudFront 的详细响应标头以满足 Veracode 的要求?

如果这是错误的 StackExchange 子交换,请重定向我,我很乐意移动这个问题。

我刚刚调到一个管理 CloudFront 实例的项目。我之前从未使用过任何 Amazon 云服务(除了 S3,而且只用过一点点)。该项目必须通过 Veracode 静态/动态扫描,分数为 100,而 Veracode 抱怨我们的响应标头包含太多有关我们服务器的信息(例如 S3/CloudFront 版本信息)。我找到了一篇文章,描述了 CloudFront 将哪些请求标头转发到源的规则,以及一些有关响应标头的其他规则,但没有找到关于如何阻止 CloudFront 推送显示版本信息的标头的文档。

有没有办法在 CloudFront(或 S3)中定位这些标头以禁用它们并让 Veracode 满意?

编辑:Veracode 报告的其他详细信息:

Veracode 的建议是:

配置您的 Web 服务器以避免其公布自己的详细信息。例如,在 Apache 中,应将这两个配置指令添加到配置文件中:“ServerSignature Off”和“ServerTokens Prod”。对 Microsoft 的 IIS Web 服务器使用 URLScan 和 IISLockdown。

不确定如何在 S3/CloudFront 中实现这一点。

相关内容