3

Access-Control-Allow-Origin での CORS の使用に関する別の質問を見ました: * 最大の懸念は、クロスサイト リクエスト フォージェリ攻撃でした。

AWS API Gateway で使用する場合も同じ懸念が当てはまるのではないかと考えていました。

API GatewayのCORS ドキュメントには、CORS の欠点については言及されていません。

ただし、S3 CORS ドキュメントには、Access-Control-Allow-Origin: * が GET でのみ使用されていることが示されていますが、PUT、POST、および DELETE のオリジンが指定されています。

私の特定のユースケースでは、API ゲートウェイのドキュメントに書かれていることを実行したいと考えていました: JavaScript クライアントを使用して、別のドメインにデプロイされた API を呼び出します (つまり、my-api-id.execute-api.region-id.amazonaws.com/test )。リクエストごとに API キーを渡しています。

Access-Control-Allow-Origin: * を GET、POST、PUT、DELETE で使用しても安全ですか?

4

2 に答える 2

1

AWS API Gateway を使用するかどうかに関係なく、CORS はセキュリティとブラウザのサポートの両方に影響を与えます

セキュリティ上の懸念については、この StackOverflow の質問に適切な説明があります: CORS と XSS には接続がありますか?

API が公開されていない場合は、Access-Control-Allow-Origin を「*」に設定する必要はありません。特定のドメインをホワイトリストに登録できます。

この記事の執筆時点では、CORS は次の主要なブラウザー バージョンで完全にサポートされています。

  • 31年以来のクロム
  • iOS Safari 8.5 以降
  • Android ブラウザ 4.4 以降
  • 11以来のIE
  • Firefox 41
  • 8時からのサファリ

部分的なサポートの詳細と情報については、http://caniuse.com/#feat=corsを参照してください。

于 2015-11-02T20:43:06.657 に答える