Если это неправильная подобменная биржа StackExchange, перенаправьте меня, я рад переместить этот вопрос.
Меня только что перевели в проект, управляющий экземпляром CloudFront. Раньше я никогда не пользовался какими-либо облачными сервисами Amazon (кроме S3 и только немного). Проект должен пройти статическое / динамическое сканирование Veracode с оценкой 100, и Veracode жалуется, что наши заголовки ответов содержат слишком много информации о наших серверах (например, информацию о версии S3 / CloudFront). Я нашел статью, описывающую правила, для которых заголовки запросов CloudFront пересылает источнику, и некоторые другие правила, касающиеся заголовков ответов, но не нашел документации о том, как запретить CloudFront специально проталкивать заголовки, раскрывающие информацию о версии.
Есть ли способ настроить таргетинг на эти заголовки в CloudFront (или S3), чтобы отключить их и порадовать Veracode?
Редактировать: дополнительные сведения из отчета Veracode:
Рекомендация от Veracode:
Настройте свой веб-сервер так, чтобы он не объявлял свои собственные данные. Например, в Apache эти две директивы конфигурации должны быть добавлены в файл конфигурации: «ServerSignature Off» и «ServerTokens Prod». Используйте URLScan и IISLockdown для веб-сервера Microsoft IIS.
Не знаю, как это сделать в S3 / CloudFront.