Блог

По умолчанию Api Gateway отвечает перенаправлением 307 на любой незащищенный http-запрос. Я согласен с тем, что http запрещен, но моя проблема безопасности заключается в том, что библиотеки http будут прозрачно следовать перенаправлению, и разработчики даже не заметят, что они отправили свои конфиденциальные значения заголовка (токен api) незащищенными. Вместо перенаправления я бы предпочел, чтобы Api Gateway ответил 403 Forbidden или что-то в этом роде, чтобы разработчики знали, что им следует прекратить отправку своих токенов по http. Возможно ли это?

Для стороны API: подключение.setInstanceFollowRedirects(false);

или

Проверьте этот документ AWS: https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html

Если вы отправляете POST, PUT, DELETE, ОПЦИИ или ИСПРАВЛЕНИЕ по HTTP с использованием кэша HTTP в HTTPS и версии протокола запроса HTTP 1.1 или выше, CloudFront перенаправляет запрос в папку HTTPS с кодом состояния HTTP 307 (временное перенаправление). Это гарантирует, что запрос будет отправлен снова в новое местоположение с использованием того же метода и основной полезной нагрузки.

Если вы отправляете запросы POST, PUT, DELETE, OPTIONS или PATCH через HTTP на поведение кэша HTTPS с помощью протокола запроса версии ниже HTTP 1.1, CloudFront возвращает код состояния HTTP 403 (Запрещено).