Cri*_*eda 6 amazon-web-services aws-api-gateway
我正在尝试使用 Signature 4 来保护 apigateway 端点来签署请求并从 Angular4 前端访问它。
签名 4 文档指定:(https://docs.aws.amazon.com/apigateway/api-reference/signing-requests/):
以规范格式创建您的 HTTP 请求。对于没有负载的请求(例如 GET 或 DELETE),规范请求必须包含主机和 x-amz-date 标头,对于需要负载的请求(例如 PATCH、POST 或 PUT),还必须包含内容类型标头。”
当我使用 POSTMAN 对其进行签名时,它运行良好,但从浏览器中它不起作用,因为当我尝试设置标头 HOST 时,chrome 会引发错误:
拒绝设置不安全的标头“Host” http.es5.js:1253
然后,如果我查看 Chrome 发送的请求标头,则没有Host标头,而是有一个:authority标头。
据我所知,这是一个安全问题,无法强制 Chrome 这样做。
有一种方法可以告诉 AWS Signature 4 考虑:authority insted host?
或者还有其他方法可以安全地从浏览器访问?(据我所知 API GATEWAY 不支持 Signature V2)
| 归档时间: |
|
| 查看次数: |
1329 次 |
| 最近记录: |