禁用 AWS Api Gateway http --> https 307 重定向

【问题标题】:Disable AWS Api Gateway http --> https 307 redirect禁用 AWS Api Gateway http --> https 307 重定向
【发布时间】:2019-03-25 13:05:50
【问题描述】:

默认情况下,Api Gateway 会以 307 重定向响应任何不安全的 http 请求。我对不允许使用 http 很好,但我的安全问题是 http 库将透明地遵循重定向,开发人员甚至不会注意到他们发送的敏感标头值(一个 api 令牌)是不安全的。 我宁愿 Api Gateway 以 403 Forbidden 或类似的方式响应,而不是重定向,因此开发人员知道他们应该停止通过 http 发送令牌。这可能吗?

【问题讨论】:

    标签: amazon-web-services api redirect aws-api-gateway


    【解决方案1】:

    对于 API 端:connection.setInstanceFollowRedirects(false);

    查看此 AWS 文档:https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html

    如果您通过 HTTP 发送 POST、PUT、DELETE、OPTIONS 或 PATCH,其中包含 HTTP 到 HTTPS 缓存行为和 HTTP 1.1 或更高版本的请求协议版本, CloudFront 将请求重定向到具有 HTTP 状态代码 307(临时重定向) 的 HTTPS 位置。这保证了使用相同的方法和正文有效负载再次将请求发送到新位置。

    如果您通过 HTTP 向 HTTPS 缓存行为发送 POST、PUT、DELETE、OPTIONS 或 PATCH 请求,请求协议版本低于 HTTP 1.1,CloudFront 将返回 HTTP 状态代码 403 (禁止)

    【讨论】:

      猜你喜欢
      • 2021-07-22
      • 2018-04-28
      • 2015-04-19
      • 1970-01-01
      • 2015-07-16
      • 1970-01-01
      • 2015-03-22
      • 2020-08-06
      • 2018-05-23
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode