如何使用 CORS 限制 AWS S3 访问？

Question

如何在 Amazon S3 上设置 CORS 以仅允许已批准的域访问我的 S3 存储桶中的 JS 脚本？目前，我在 S3 存储桶上设置了如下 CORS：

<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
    <CORSRule>
        <AllowedOrigin>www.someapproveddomain.com</AllowedOrigin>
        <AllowedMethod>GET</AllowedMethod>
        <MaxAgeSeconds>3000</MaxAgeSeconds>
        <AllowedHeader>Authorization</AllowedHeader>
    </CORSRule>
</CORSConfiguration>

然而，任何域都可以以demonstrated at JSFiddle 的身份访问和运行脚本hello.js（位于S3 存储桶中）。有人我做错了吗？或者，也许我只是误解了 CORS 应该做什么？

Answer 1

我确实认为您误解了 CORS。 （编辑：没关系！）

CORS 不适用于服务器端安全。

关于 SO 的解释比我能解释的要好得多，但这样做的主要目的之一是防止有人创建假网站（如银行门户）并让它向真实服务器发出请求用户的真实凭据。如果服务器和真实站点启用了 CORS，则服务器将只允许来自真实站点域的请求。

您可能想要研究的是使用 IAM 策略或 S3 存储桶策略。 AWS here 有一篇很棒的博客文章涵盖了这一点。您需要一个 EC2 实例作为一种中间人来访问 S3 存储桶并将文件提供给客户端。

使用纯 S3 可能还有另一种方法可以做到这一点，但本质上，如果它可以在没有身份验证的情况下公开访问，那么有人可以在技术上欺骗标头，使其看起来像是来自您的 CORS 定义的域。

Answer 2

您需要使用限制对特定 HTTP 引荐来源网址的访问的 S3 存储桶策略来解决此问题，而不是尝试使用 CORS 解决此问题。这记录在here。

这是 AWS 给出的示例存储桶策略：

{
  "Version":"2012-10-17",
  "Id":"http referer policy example",
  "Statement":[
    {
      "Sid":"Allow get requests originating from www.example.com and example.com.",
      "Effect":"Allow",
      "Principal":"*",
      "Action":"s3:GetObject",
      "Resource":"arn:aws:s3:::examplebucket/*",
      "Condition":{
        "StringLike":{"aws:Referer":["http://www.example.com/*","http://example.com/*"]}
      }
    }
  ]
}

请注意，HTTP 引荐来源网址很容易被攻击者欺骗。