Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Änderung des HTTP-Headers für Ihren Application Load Balancer
Die Änderung von HTTP-Headern wird von Application Load Balancers sowohl für Anforderungs- als auch für Antwortheader unterstützt. Durch die Änderung des Headers können Sie den Datenverkehr und die Sicherheit Ihrer Anwendung besser kontrollieren, ohne dass Sie Ihren Anwendungscode aktualisieren müssen.
Informationen zum Aktivieren der Header-Änderung finden Sie unter[Aktivieren Sie die Header-Änderung](enable-header-modification.md).
## mTLS/TLS Header umbenennen
Mit der Funktion zum Umbenennen von Headern können Sie die Namen der mTLS- und TLS-Header konfigurieren, die der Application Load Balancer generiert und zu Anfragen hinzufügt.
Durch diese Fähigkeit, HTTP-Header zu ändern, kann Ihr Application Load Balancer problemlos Anwendungen unterstützen, die speziell formatierte Anfrage- und Antwortheader verwenden.
| Header | Description |
| --- | --- |
| X-Amzn-Mtls-Clientcert-Serial-Number | Stellt sicher, dass das Ziel das vom Client während des TLS-Handshakes vorgelegte spezifische Zertifikat identifizieren und verifizieren kann. |
| X-Amzn-Mtls-Clientcert-Issuer | Hilft dem Ziel, das Client-Zertifikat zu validieren und zu authentifizieren, indem die Zertifizierungsstelle identifiziert wird, die das Zertifikat ausgestellt hat. |
| X-Amzn-Mtls-Clientcert-Subject | Stellt der Zielperson detaillierte Informationen über die Entität zur Verfügung, für die das Client-Zertifikat ausgestellt wurde, was bei der Identifizierung, Authentifizierung, Autorisierung und Protokollierung während der mTLS-Authentifizierung hilfreich ist. |
| X-Amzn-Mtls-Clientcert-Validity | Ermöglicht es dem Ziel, zu überprüfen, ob das verwendete Client-Zertifikat innerhalb des definierten Gültigkeitszeitraums liegt, und stellt so sicher, dass das Zertifikat nicht abgelaufen ist oder vorzeitig verwendet wird. |
| X-Amzn-Mtls-Clientcert-Leaf | Stellt das im mTLS-Handshake verwendete Client-Zertifikat bereit, sodass der Server den Client authentifizieren und die Zertifikatskette validieren kann. Dadurch wird sichergestellt, dass die Verbindung sicher und autorisiert ist. |
| X-Amzn-Mtls-Clientcert | Trägt das vollständige Client-Zertifikat. Ermöglicht es dem Ziel, die Echtheit des Zertifikats zu überprüfen, die Zertifikatskette zu validieren und den Client während des mTLS-Handshake-Prozesses zu authentifizieren. |
| X-Amzn-TLS-Version | Gibt die Version des TLS-Protokolls an, das für eine Verbindung verwendet wird. Es erleichtert die Bestimmung des Sicherheitsniveaus der Kommunikation, die Behebung von Verbindungsproblemen und die Sicherstellung der Einhaltung von Vorschriften. |
| X-Amzn-TLS-Cipher-Suite | Gibt die Kombination von kryptografischen Algorithmen an, die zur Sicherung einer Verbindung in TLS verwendet werden. Auf diese Weise kann der Server die Sicherheit der Verbindung beurteilen, was bei der Behebung von Kompatibilitätsproblemen hilft und die Einhaltung der Sicherheitsrichtlinien gewährleistet. |
## Fügen Sie Antwort-Header hinzu
Mithilfe von Insert-Headern können Sie Ihren Application Load Balancer so konfigurieren, dass sicherheitsrelevante Header zu Antworten hinzugefügt werden. Mit diesen Attributen können Sie Header wie HSTS, CORS und CSP einfügen.
Standardmäßig sind diese Header leer. In diesem Fall ändert der Application Load Balancer diesen Antwortheader nicht.
Wenn Sie einen Antwort-Header aktivieren, fügt der Application Load Balancer allen Antworten den Header mit dem konfigurierten Wert hinzu. Wenn die Antwort vom Ziel den HTTP-Antwort-Header enthält, aktualisiert der Load Balancer den Header-Wert auf den konfigurierten Wert. Andernfalls fügt der Load Balancer der Antwort den HTTP-Antwort-Header mit dem konfigurierten Wert hinzu.
| Header | Description |
| --- | --- |
| Strict-Transport-Security | Erzwingt reine HTTPS-Verbindungen durch den Browser für eine bestimmte Dauer und trägt so zum Schutz vor man-in-the-middle Angriffen, Protokollherabstufungen und Benutzerfehlern bei. Dabei wird sichergestellt, dass die gesamte Kommunikation zwischen dem Client und dem Ziel verschlüsselt ist. |
| Access-Control-Allow-Origin | Steuert, ob auf Ressourcen auf einem Ziel von unterschiedlichen Quellen aus zugegriffen werden kann. Dies ermöglicht sichere ursprungsübergreifende Interaktionen und verhindert gleichzeitig unbefugten Zugriff. |
| Access-Control-Allow-Methods | Gibt die HTTP-Methoden an, die zulässig sind, wenn ursprungsübergreifende Anfragen an das Ziel gestellt werden. Es ermöglicht die Kontrolle darüber, welche Aktionen von unterschiedlichen Ursprüngen aus ausgeführt werden können. |
| Access-Control-Allow-Headers | Gibt an, welche benutzerdefinierten oder nicht einfachen Header in eine ursprungsübergreifende Anfrage aufgenommen werden können. Dieser Header gibt Zielen die Kontrolle darüber, welche Header von Clients unterschiedlicher Herkunft gesendet werden können. |
| Access-Control-Allow-Credentials | Gibt an, ob der Client Anmeldeinformationen wie Cookies, HTTP-Authentifizierung oder Client-Zertifikate in ursprungsübergreifende Anfragen aufnehmen soll. |
| Access-Control-Expose-Headers | Ermöglicht dem Ziel, anzugeben, auf welche zusätzlichen Antwortheader der Client bei ursprungsübergreifenden Anfragen zugreifen kann. |
| Access-Control-Max-Age | Definiert, wie lange der Browser das Ergebnis einer Preflight-Anfrage zwischenspeichern kann, wodurch die Notwendigkeit wiederholter Preflight-Checks reduziert wird. Dies trägt zur Leistungsoptimierung bei, indem die Anzahl der OPTIONS-Anfragen reduziert wird, die für bestimmte ursprungsübergreifende Anfragen erforderlich sind. |
| Content-Security-Policy | Sicherheitsfunktion, die Code-Injection-Angriffe wie XSS verhindert, indem gesteuert wird, welche Ressourcen wie Skripte, Stile, Bilder usw. von einer Website geladen und ausgeführt werden können. |
| X-Content-Type-Options | Verbessert mit der No-Sniff-Direktive die Websicherheit, indem verhindert wird, dass Browser den MIME-Typ einer Ressource erraten. Sie stellt sicher, dass Browser Inhalte nur gemäß dem deklarierten Content-Type interpretieren |
| X-Frame-Options | Header-Sicherheitsmechanismus, der Click-Jacking-Angriffe verhindert, indem gesteuert wird, ob eine Webseite in Frames eingebettet werden kann. Werte wie DENY und SAMEORIGIN können sicherstellen, dass Inhalte nicht auf bösartigen oder nicht vertrauenswürdigen Websites eingebettet werden. |
## Header deaktivieren
Mithilfe von Headern können Sie Ihren Application Load Balancer so konfigurieren, dass der `server:awselb/2.0` Header aus den Antworten deaktiviert wird. Dadurch wird die Offenlegung serverspezifischer Informationen reduziert und gleichzeitig eine zusätzliche Schutzebene für Ihre Anwendung hinzugefügt.
Der Name des Attributs lautet`routing.http.response.server.enabled`. Die verfügbaren Werte sind `true` oder`false`. Der Standardwert ist `true`.
## Einschränkungen
+ Header-Werte können die folgenden Zeichen enthalten
+ Alphanumerische Zeichen: `a-z``A-Z`, und `0-9`
+ Sonderzeichen: `_ :;.,\/'?!(){}[]@<>=-+*#&`|~^%`
+ Der Wert für das Attribut darf eine Größe von 1 KB nicht überschreiten.
+ Elastic Load Balancing führt grundlegende Eingabevalidierungen durch, um zu überprüfen, ob der Header-Wert gültig ist. Die Validierung kann jedoch nicht bestätigen, ob der Wert für einen bestimmten Header unterstützt wird.
+ Wenn Sie für ein Attribut einen leeren Wert angeben, kehrt der Application Load Balancer zum Standardverhalten zurück.
# Aktivieren Sie die HTTP-Header-Änderung für Ihren Application Load Balancer
Die Header-Änderung ist standardmäßig ausgeschaltet und muss auf jedem Listener aktiviert werden. Weitere Informationen finden Sie unter [Änderung des HTTP-Headers](header-modification.md).
------
#### [ Console ]
**Um die Header-Änderung zu aktivieren**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie im Navigationsbereich **Load Balancers** aus.
1. Wählen Sie den Application Load Balancer aus.
1. Wählen Sie auf der Registerkarte **Listener und Regeln** das Protokoll und den Port aus, um die Detailseite für Ihren Listener zu öffnen.
1. Klicken Sie auf der Registerkarte **Attribute** auf **Bearbeiten**.
Listener-Attribute sind in Gruppen organisiert. Sie wählen aus, welche Funktionen aktiviert werden sollen.
1. [HTTPS-Listener] **Modifizierbare mTLS/TLS ** Header-Namen
1. Erweitern Sie **Modifizierbare Header-Namen mTLS/TLS **.
1. Ermöglicht es den Anforderungsheadern, sie zu ändern, und geben Sie ihnen Namen. Weitere Informationen finden Sie unter [mTLS/TLS Header umbenennen](header-modification.md#rename-header).
1. **Fügen Sie Antwort-Header hinzu**
1. Erweitern Sie **Antwort-Header hinzufügen**.
1. Aktivieren Sie die Antwort-Header, um Werte für sie hinzuzufügen und bereitzustellen. Weitere Informationen finden Sie unter [Fügen Sie Antwort-Header hinzu](header-modification.md#insert-header).
1. **Antwort-Header des ALB-Servers**
1. Aktiviert oder deaktiviert den **Server-Header**.
1. Wählen Sie **Änderungen speichern ** aus.
------
#### [ AWS CLI ]
**Um die Header-Änderung zu aktivieren**
Verwenden Sie den Befehl [modify-listener-attributes](https://docs.aws.amazon.com/cli/latest/reference/elbv2/modify-listener-attributes.html). Eine Liste der Attribute finden Sie unter[Attribute zur Änderung von Headern](#header-modification-attributes).
```
aws elbv2 modify-listener-attributes \
--listener-arn listener-arn \
--attributes "Key=attribute-name,Value=attribute-value"
```
------
#### [ CloudFormation ]
**So aktivieren Sie die Header-Änderung**
Aktualisieren Sie die [AWS::ElasticLoadBalancingV2::Listener](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-resource-elasticloadbalancingv2-listener.html)Ressource so, dass sie die Attribute enthält. Eine Liste der Attribute finden Sie unter[Attribute zur Änderung von Headern](#header-modification-attributes).
```
Resources:
myHTTPlistener:
Type: 'AWS::ElasticLoadBalancingV2::Listener'
Properties:
LoadBalancerArn: !Ref myLoadBalancer
Protocol: HTTP
Port: 80
DefaultActions:
- Type: "forward"
TargetGroupArn: !Ref myTargetGroup
ListenerAttributes:
- Key: "attribute-name"
Value: "attribute-value"
```
------
## Attribute zur Änderung von Headern
Im Folgenden sind die Attribute zur Header-Änderung aufgeführt, die von Application Load Balancers unterstützt werden.
`routing.http.request.x_amzn_mtls_clientcert_serial_number.header_name`
Ändern Sie den Header-Namen von **X-Amzn-Mtls-Clientcert-Serial-Number**.
`routing.http.request.x_amzn_mtls_clientcert_issuer.header_name`
Ändern Sie den Header-Namen von **X-Amzn-Mtls-Clientcert-Issuer**.
`routing.http.request.x_amzn_mtls_clientcert_subject.header_name`
Ändern Sie den Header-Namen von **X-Amzn-Mtls-Clientcert-Suject**.
`routing.http.request.x_amzn_mtls_clientcert_validity.header_name`
Ändern Sie den Header-Namen von **X-Amzn-Mtls-Clientcert-Validity**.
`routing.http.request.x_amzn_mtls_clientcert_leaf.header_name`
Ändern Sie den Header-Namen von **X-Amzn-Mtls-Clientcert-Leaf**.
`routing.http.request.x_amzn_mtls_clientcert.header_name`
Ändern Sie den Header-Namen von **X-Amzn-Mtls-Clientcert**.
`routing.http.request.x_amzn_tls_version.header_name`
Ändern Sie den Header-Namen von **X-Amzn-Tls-Version.**
`routing.http.request.x_amzn_tls_cipher_suite.header_name`
**Ändern Sie den Header-Namen von X-Amzn-Tls-Cipher-Suite.**
`routing.http.response.server.enabled`
Gibt an, ob der HTTP-Antwortserver-Header zugelassen oder entfernt werden soll.
`routing.http.response.strict_transport_security.header_value`
Fügen Sie den **Strict-Transport-Security-Header** hinzu, um Browser darüber zu informieren, dass auf die Site nur über HTTPS zugegriffen werden sollte und dass alle future Zugriffsversuche über HTTP automatisch in HTTPS umgewandelt werden sollten.
`routing.http.response.access_control_allow_origin.header_value`
Fügen Sie den Header **Access-Control-Allow-Origin** hinzu, um anzugeben, welche Ursprünge auf den Server zugreifen dürfen.
`routing.http.response.access_control_allow_methods.header_value`
Fügen Sie den Header **Access-Control-Allow-Methods hinzu, um anzugeben, welche HTTP-Methoden** zulässig sind, wenn von einem anderen Ursprung aus auf den Server zugegriffen wird.
`routing.http.response.access_control_allow_headers.header_value`
Fügen Sie den Header **Access-Control-Allow-Headers hinzu, um anzugeben, welche Header bei einer ursprungsübergreifenden Anfrage zulässig** sind.
`routing.http.response.access_control_allow_credentials.header_value`
Fügen Sie den Header **Access-Control-Allow-Credentials hinzu, um anzugeben, ob der Browser Anmeldeinformationen** wie Cookies oder Authentifizierung in ursprungsübergreifende Anfragen aufnehmen soll.
`routing.http.response.access_control_expose_headers.header_value`
Fügen Sie den Header **Access-Control-Expose-Headers hinzu, um anzugeben, welche Header** der Browser dem anfragenden Client zur Verfügung stellen kann.
`routing.http.response.access_control_max_age.header_value`
Fügen Sie den **Access-Control-Max-Age-Header** hinzu, um anzugeben, wie lange die Ergebnisse einer Preflight-Anfrage zwischengespeichert werden können (in Sekunden).
`routing.http.response.content_security_policy.header_value`
Fügen Sie den **Content-Security-Policy-Header** hinzu, um Einschränkungen anzugeben, die vom Browser durchgesetzt werden, um das Risiko bestimmter Arten von Sicherheitsbedrohungen zu minimieren.
`routing.http.response.x_content_type_options.header_value`
**Fügen Sie den Header **X-Content-Type-Options** hinzu, um anzugeben, ob die in den Content-Type-Headern angekündigten MIME-Typen befolgt und nicht geändert werden sollen.**
`routing.http.response.x_frame_options.header_value`
********Fügen Sie den **X-Frame-Options-Header** hinzu, um anzugeben, ob der Browser eine Seite in einem Frame, Iframe, Embed oder Objekt rendern darf.********