默认情况下,Api Gateway会响应307重定向到任何不安全的http请求。禁止使用HTTP很好,但是我的安全问题是HTTP库将透明地跟随重定向,并且开发人员甚至不会注意到他们发送的敏感标头值(API令牌)是不安全的。 与其说重定向,不如说是Api Gateway以403 Forbidden或类似的方式响应,因此开发人员知道他们应该停止通过http发送令牌。这可能吗?
答案 0 :(得分:1)
对于API方面:connection.setInstanceFollowRedirects(false);
OR
如果您通过HTTP 通过HTTP发送POST,PUT,DELETE,OPTIONS或PATCH,并且具有HTTP到HTTPS缓存行为并且请求协议版本为 HTTP 1.1或更高版本, CloudFront使用 HTTP状态代码307(临时重定向)将请求重定向到HTTPS位置。这样可以确保使用相同的方法和正文有效负载将请求再次发送到新位置。
如果您通过HTTP到HTTPS版本以下的请求协议通过HTTP向HTTPS缓存行为发送POST,PUT,DELETE,OPTIONS或PATCH请求,则CloudFront将返回 HTTP状态码403(禁止)。