【发布时间】:2018-06-16 20:26:19
【问题描述】:
我有一个 Web 客户端通过 AWS API Gateway 向 AWS Lambda 发出请求。我正在使用 AWS Cognito 和 Auth0 对用户进行身份验证。
我的问题与来自 AWS API Gateway 端点的 CORS 响应标头有关,特别是设置为任何“' * '”的 Access-Control-Allow-Origin 响应标头。本文指出了在我们的后端使用任何“' * '”参数的风险,即“黑客可以在我们的网站上请求任何方法”:(CORS Security link)。
虽然 Cognito 的身份验证可能证明发出请求的最终用户就是他所说的那个人,但 Cognito 的身份验证并不一定证明代表用户发出请求的网站是 mywebsite.com 而不是 attacker.com。
Cognito 是否保证请求来自 mywebsite.com?
是否有一种安全的方法来实现任何“' * '”Access-Control-Allow-Origin 响应标头?
【问题讨论】:
-
“我的问题与发送到 AWS 的 POST 请求中的 CORS 标头有关” AWS 的哪个部分?认知服务,还是您的 API 网关端点?
Access-Control-Allow-Origin是响应标头,而不是请求标头,所以这不是“发送到”,而是“接收自”...从什么地方,究竟是什么? -
这是一个响应标头,从 AWS API Gateway 端点接收。谢谢,我已经编辑了帖子。
标签: amazon-web-services security cors amazon-cognito auth0