我正在改造我的网络应用程序以使其适应 Beanstalk 和 Workers 希望我定义 cron 任务的方式:
我知道我必须实现一个执行任务的 URL。
在我看来这是一个很大的安全漏洞,任何了解任务 URL 的人都可以调用该任务。
将一些安全包装器添加到这些任务 URL 的常用模式是什么?
【问题讨论】:
标签: amazon-web-services cron worker amazon-elastic-beanstalk
我回来时也经历过同样的事情。但是,如果您查看文档,您会发现它谈到了以下内容(第三点除外)。
因为它只接受来自本地主机的请求,所以它是安全的。如果您想实现额外的安全性,您也可以检查标头以仅允许某些代理。
【讨论】:
request.host == "localhost"。但我有一个顾虑:我可以模拟我的笔记本电脑请求来自localhost 并用/etc/hosts 技巧欺骗服务器吗?
您应该能够简单地锁定分配给 Elastic Beanstalk 工作程序层环境的安全组,以便它只接受来自工作程序层中其他 EC2 实例的传入请求。换句话说,安全组应该有一个单一的入站规则,源类型为“自定义”,源值是安全组的 ID。然后,您可以确定只有工作层守护进程可以发布到工作层任务 URL。
【讨论】:
Make sure that URL only accepts request from localhost 会成功