AWS CloudFront — Alle Security-Header-Anleitungen
Schritt-für-Schritt-Anleitungen für jeden Security Header auf AWS CloudFront. Response Headers Policies, Terraform und CloudFront Functions — von HSTS in 5 Minuten bis CSP mit Nonces.
Security Headers in AWS CloudFront — drei Konfigurationswege
AWS CloudFront bietet drei Wege zur Header-Konfiguration: Response Headers Policies für statische Header wie HSTS, X-Frame-Options und Referrer-Policy — direkt im Dashboard oder per Terraform. CloudFront Functions für dynamische Header wie CSP-Nonces auf allen Edge Locations weltweit. Und Lambda@Edge für komplexe Logik mit Zugriff auf Cookies und Geolocation.
Die AWS-Managed SecurityHeadersPolicy deckt nur einen Teil der Security Headers ab
und setzt HSTS ohne includeSubDomains und ohne preload. Für eine
vollständige Absicherung erstellen Sie eine eigene Response Headers Policy mit allen Headern.
Unsere Anleitungen zeigen Terraform- und Console-Konfigurationen für jeden Header.
Wichtig: CloudFront kann keine Cookies setzen — Cookie-Konfiguration erfolgt auf Application-Ebene (z.B. in der Lambda-Funktion, im ALB oder in der Origin-Anwendung). Deshalb gibt es für AWS CloudFront kein separates Cookie-Kapitel.
AWS CloudFront-Anleitungen nach Thema
Jede Anleitung erklärt einen Security Header Schritt für Schritt — mit AWS-spezifischen Konfigurationen für Terraform, CloudFront Functions und die AWS Console. Die Punkte zeigen den Einfluss auf Ihre Web Security Note.
Implementierungs-Architektur
Alle Security Headers über CloudFront Response Headers Policies und Terraform — konsolidierte Multi-Layer-Architektur.
Content Security Policy (CSP)
XSS-Schutz per Response Headers Policy oder CloudFront Functions — dynamische Nonces auf Edge-Ebene.
HTTP Strict Transport Security
HTTPS erzwingen per Response Headers Policy — inklusive Preload und Viewer Protocol Policy.
Permissions Policy
Browser-APIs einschränken per Response Headers Policy — Kamera, Mikrofon, Geolocation sperren.
Clickjacking-Schutz
X-Frame-Options und frame-ancestors per Response Headers Policy — CloudFront-native Konfiguration.
Referrer-Policy
Referrer-Informationen kontrollieren per Response Headers Policy — Terraform und Console-Konfiguration.
X-Content-Type-Options
MIME-Sniffing verhindern per Response Headers Policy — ein Klick im CloudFront Dashboard.
Cross-Origin Headers
CORP, COEP und COOP gegen Spectre-Angriffe — Custom Headers in der Response Headers Policy.
Subresource Integrity
SRI-Hashes in der S3 Build-Pipeline generieren — CodeBuild, CloudFront Functions und CDN-Invalidierung.
security.txt
Kontaktdatei unter .well-known/ im S3-Bucket — mit CloudFront Redirect oder S3-Origin-Pfad.
DNS-Sicherheit
DNSSEC in Route 53 aktivieren, CAA Records setzen — AWS-native DNS-Absicherung.
TLS & Zertifikate
ACM-Zertifikate, TLS 1.2+, Security Policy und OCSP Stapling — CloudFront-native TLS-Konfiguration.
Cache-Control
Sicherheitsrelevante Cache-Direktiven per Cache Policy und Origin Request Policy — TTL-Steuerung.
Reporting API
Report-To und Reporting-Endpoints per CloudFront Functions — Violation-Reports an eigenen Endpoint.
Clear-Site-Data
Browser-Daten beim Logout löschen per CloudFront Function auf Logout-Route.
Erweiterte Header
Origin-Agent-Cluster, HTTPS-Redirects, X-DNS-Prefetch-Control und Viewer Protocol Policy.
In 3 Schritten zur sicheren CloudFront-Konfiguration
Status prüfen
Starten Sie mit dem kostenlosen Web Security Check. 166 Prüfpunkte zeigen Ihnen in Sekunden, welche Header fehlen und wo Handlungsbedarf besteht.
Response Headers Policy erstellen
Erstellen Sie eine Custom Response Headers Policy per Terraform oder im Dashboard. Diese setzt HSTS, X-Content-Type-Options und Referrer-Policy in einer zentralen Konfiguration — sauberer als einzelne CloudFront Functions.
CSP per CloudFront Function
Die Content Security Policy mit dynamischen Nonces setzen Sie per CloudFront Function im Viewer-Response Event. Unsere Anleitung zeigt den vollständigen JavaScript-Code inklusive Nonce-Generierung und strict-dynamic.
Nicht AWS? Andere Anleitungen verfügbar
Webserver
CMS & Shop-Systeme
Frameworks & Sprachen
Hosting-Anbieter
Wie sicher ist Ihre Website?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Wo konfiguriere ich Security Headers in AWS CloudFront?
Über CloudFront Response Headers Policies. Im AWS Dashboard unter CloudFront → Distributions → Behaviors → Response Headers Policy. Dort können Sie HSTS, X-Content-Type-Options, X-Frame-Options, Referrer-Policy und Custom Headers zentral verwalten. Änderungen gelten nach dem nächsten Deployment für alle Edge Locations weltweit.
Was ist der Unterschied zwischen CloudFront Functions und Lambda@Edge?
CloudFront Functions laufen auf allen Edge Locations, sind JavaScript-only, haben ein 10-KB-Code-Limit und kosten ein Sechstel von Lambda@Edge. Sie eignen sich für Header-Manipulation und einfache Redirects. Lambda@Edge unterstützt Node.js und Python, läuft aber nur in us-east-1 — was DSGVO-Bedenken aufwerfen kann.
Reicht die Managed SecurityHeadersPolicy von AWS?
Nein. Die AWS-Managed SecurityHeadersPolicy setzt HSTS ohne includeSubDomains und ohne Preload. Außerdem fehlen CSP, Permissions-Policy und Cross-Origin-Header. Erstellen Sie immer eine Custom Response Headers Policy mit allen benötigten Headern.
Kann ich CSP-Nonces mit CloudFront umsetzen?
Ja, aber nicht über Response Headers Policies — die setzen nur statische Header. Für dynamische Nonces benötigen Sie eine CloudFront Function im Viewer-Response Event, die pro Request einen zufälligen Nonce generiert und in den CSP-Header einfügt. Die 10-KB-Code-Grenze ist für CSP-Nonces ausreichend.
Wie verwalte ich CloudFront Security Headers per Infrastructure as Code?
Mit Terraform über die Resource aws_cloudfront_response_headers_policy. Definieren Sie security_headers_config mit HSTS, X-Content-Type-Options und Co., plus custom_headers_config für CSP und Permissions-Policy. Alternativ nutzen Sie AWS CloudFormation oder AWS CDK. Terraform ist der empfohlene Weg, weil Response Headers Policies versioniert und in Git nachvollziehbar sind.