Aws lambda 无服务器aws Cors设置
我正在构建无服务器应用程序,希望限制只有一个url可以访问服务器 我在serverless.yml上尝试了两种方法Aws lambda 无服务器aws Cors设置,aws-lambda,serverless-framework,serverless,aws-serverless,Aws Lambda,Serverless Framework,Serverless,Aws Serverless,我正在构建无服务器应用程序,希望限制只有一个url可以访问服务器 我在serverless.yml上尝试了两种方法 login: handler: login.login events: - http: path: login method: post cors: origins: - 'https://admin.test.com'
login:
handler: login.login
events:
- http:
path: login
method: post
cors:
origins:
- 'https://admin.test.com'
headers:
- Content-Type
- X-Amz-Date
- Authorization
- X-Api-Key
- X-Amz-Security-Token
- X-Amz-User-Agent
- Startlower
- Text
- Access-Control-Allow-Headers
- Access-Control-Allow-Origin
及
在登录功能上
headers: {
"Access-Control-Allow-Credentials": true,
"Access-Control-Allow-Origin" : "https://admin.test.com",
"Content-Type": "application/json",
},
headers: {
"Access-Control-Allow-Credentials": true,
"Access-Control-Allow-Origin" : "https://admin.test.com",
"Content-Type": "application/json",
},
但它对公众开放。任何拥有无服务器url的人都可以访问并查看json输出
我应该更改哪个部分?访问控制允许源站标题与(许多类型的)跨源AJAX请求相关。它不是一种通用的访问控制机制 所谓AJAX(有点过时了?),我本质上是指通过javascript从浏览器发出的请求 ,但整个故事值得一读,至少两遍 因此,此标头可以防止跨源AJAX请求,因为所有浏览器都尊重它。它对“常规”请求(即,将URL粘贴到浏览器或邮递员)不起任何作用
为了只允许来自一个IP的任何类型的请求,您可以检查lambda代码中的
来源
或参考
头,但是头可以被伪造。可能是一个更健壮的解决方案。Access Control Allow Origin头与(许多类型的)跨源AJAX请求相关。它不是一种通用的访问控制机制
所谓AJAX(有点过时了?),我本质上是指通过javascript从浏览器发出的请求
,但整个故事值得一读,至少两遍
因此,此标头可以防止跨源AJAX请求,因为所有浏览器都尊重它。它对“常规”请求(即,将URL粘贴到浏览器或邮递员)不起任何作用
为了只允许来自一个IP的任何类型的请求,您可以检查lambda代码中的
来源
或参考
头,但是头可以被伪造。可能是一个更强大的解决方案。CORS不会阻止您的功能被世界访问,它只是意味着一个信誉良好的浏览器将拒绝在域不匹配的情况下对服务进行异步调用
您可能要做的是创建一个,这可以设置为授权您登录的管理员
functions:
customauth:
handler: customauth/index.handler
admin-thing:
handler: admin/dosomething.handler
events:
- http:
path: admin/dosomething
method: post
authorizer:
name: customauth
resultTtlInSeconds: 0
identitySource: method.request.header.Authorization
identityValidationExpression: ^Bearer [-0-9a-zA-z\.]*$
cors:
origins:
- 'https://admin.test.com'
headers:
- Content-Type
- X-Amz-Date
- Authorization
- X-Api-Key
- X-Amz-Security-Token
allowCredentials: true
您也可以使用referer头来实现这一点,尽管没有那么安全。CORS不会阻止您的功能被世界访问,它只是意味着,如果域的不匹配,信誉良好的浏览器将拒绝接受异步调用服务 您可能要做的是创建一个,这可以设置为授权您登录的管理员
functions:
customauth:
handler: customauth/index.handler
admin-thing:
handler: admin/dosomething.handler
events:
- http:
path: admin/dosomething
method: post
authorizer:
name: customauth
resultTtlInSeconds: 0
identitySource: method.request.header.Authorization
identityValidationExpression: ^Bearer [-0-9a-zA-z\.]*$
cors:
origins:
- 'https://admin.test.com'
headers:
- Content-Type
- X-Amz-Date
- Authorization
- X-Api-Key
- X-Amz-Security-Token
allowCredentials: true
您也可以使用referer头执行此操作,但不太安全。在无服务器的官方文档中,APIGateway配置仅接受
来源:“值”
。我认为您可以使用“正确”设置和组合响应头重试:
login:
handler: login.login
events:
- http:
path: login
method: post
cors:
origin: 'https://admin.test.com'
headers:
- Content-Type
- X-Amz-Date
- Authorization
- X-Api-Key
- X-Amz-Security-Token
- X-Amz-User-Agent
- Startlower
- Text
- Access-Control-Allow-Headers
- Access-Control-Allow-Origin
在登录功能中(与您的功能相同)
在无服务器的官方文档中,APIGateway配置仅接受
origin:'value'
。我认为您可以使用“正确”设置和组合响应头重试:
login:
handler: login.login
events:
- http:
path: login
method: post
cors:
origin: 'https://admin.test.com'
headers:
- Content-Type
- X-Amz-Date
- Authorization
- X-Api-Key
- X-Amz-Security-Token
- X-Amz-User-Agent
- Startlower
- Text
- Access-Control-Allow-Headers
- Access-Control-Allow-Origin
在登录功能中(与您的功能相同)