CF dist 和 route53 的“Access-Control-Allow-Origin”标头中应该放什么答案

【问题标题】：What should be put in 'Access-Control-Allow-Origin' header for CF dist and route53CF dist 和 route53 的“Access-Control-Allow-Origin”标头中应该放什么
【发布时间】：2021-10-29 05:46:23
【问题描述】：

我有由 Route53 (https://example.com) 支持的 Cloud Front 分发 URL (https://abcdef.cloudfront.net/)。

我需要设置 'Access-Control-Allow-Origin' 标头 - 我不能在此处放置 '*'。

所以问题是放置 Cloud Front 分发 URL 还是 Route53 URL。我不确定哪一种可行，或者哪一种可行？

更多上下文：

所以我有一个全栈应用程序 - 构建 UI 部分并将其复制到 S3 存储桶，然后链接到上述 Cloudfront 分发 (https://abcdef.cloudfront.net/)。然后，此特定 Cloudfront 分发版由托管区域 DNS 通过 Route 53 (https://example.com) 提供支持。

我有多个后端 AWS Lambda 隐藏在 AWS API 网关后面，该网关的集成请求类型为：LAMBDA_PROXY。

标头是 Lambda 响应的一部分，如下所示：

 'Content-Type': 'application/json',
 'X-Content-Type-Options': 'nosniff',
 'X-XSS-Protection': '1',
 'Strict-Transport-Security': 'max-age=31536000; includeSubDomains; preload',
 'Access-Control-Allow-Origin': '*'

安全扫描引发以下问题：

风险名称

过度宽松的 CORS 访问策略

漏洞

扫描检测到“Access-Control-Allow-Origin”标头过于宽松。

威胁

可以收集有关网络的敏感信息应用程序，例如用户名、密码、机器名称和/或敏感文件位置
说服一个天真的用户提供敏感信息是可能的用户名、密码、信用卡号、社交网络等信息安全号码等

【问题讨论】：

标签： amazon-web-services amazon-cloudfront amazon-route53

【解决方案1】：

鉴于您在 API Gateway 后面使用 LAMBDA_PROXY 请求类型，您的 lambda 函数负责返回正确的标头。我建议如下：

const response = {
    statusCode: 200,
    headers: {
        "Access-Control-Allow-Headers" : "Content-Type", // check API Gateway configuration which headers are allowed by default
        "Access-Control-Allow-Origin": "https://www.example.com", // you add the domain which is used to make the request
        "Access-Control-Allow-Methods": "OPTIONS,POST,GET"
    },
    body: JSON.stringify('Hello from Lambda!'),
};

参考资料：

https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-cors.html

【讨论】：

我添加了一些上下文，希望对您有所帮助。
感谢您的详细说明，我更新了我的答案。我希望我能够帮助解决您的问题。祝你有美好的一天！
所以只是归零到答案。 you add the domain which is used to make the request -> 应该是云端 URL 还是 Routre 53 URL？
您在浏览器中输入的域，甚至可能两者兼有。