この技術情報では、API Gateway の応答に HSTS ヘッダーを追加する方法について説明します。
HTTP Strict Transport Security (HSTS) は、プロトコル ダウングレード攻撃や Cookie ハイジャックから Web サイトを保護するのに役立つ Web セキュリティ ポリシー メカニズムです。これにより、Web サーバーは、Web ブラウザ (またはその他の準拠するユーザー エージェント) が安全な HTTPS 接続のみを使用して対話し、安全でない HTTP プロトコルを介して通信しないことを宣言できます。
API Gateway: 全バージョン
API Gatewayでの HSTS サポートは、ポリシーに対して Manage Transport Properties/Headers アサーションを使用することで実現できます。
1. Manage Transport Properties/Headers アサーションを 目的のポリシーに追加します 。
2. このアサーションが適用されるターゲット メッセージを設定します。この使用例では、Response の値に設定する必要があります。
3. Manage Transport Properties/Headers アサーションをダブルクリックして アサーション プロパティにアクセスし、次の値を設定します。
タイプ: HTTP Header
操作: Add or Replace
プロパティ/ヘッダー名: Strict-Transport-Security
プロパティ/ヘッダー値: max-age=86400; includeSubDomains; preload
設定例:
注: 上記の値は一例であり、環境に応じて変更する必要がある場合があります。
これをすべての Gateway サービスに適用したい場合は、message-completed タイプのグローバル ポリシーにアサーションを追加できます。グローバル ポリシーの詳細については、ドキュメント Global Policy Fragments をご参照ください。