Отключить шлюз AWS Api http --> перенаправление https 307
По умолчанию Api Gateway отвечает перенаправлением 307 на любой незащищенный HTTP-запрос. Я согласен с тем, что http запрещен, но моя проблема безопасности заключается в том, что библиотеки http будут прозрачно следовать перенаправлению, и разработчики даже не заметят, что они отправили свои конфиденциальные значения заголовка (токен API) незащищенными. Вместо перенаправления я бы предпочел, чтобы Api Gateway ответил 403 Forbidden или что-то в этом роде, чтобы разработчики знали, что им следует прекратить отправлять свои токены по http. Это возможно?
Ответы 1
Для стороны API: connection.setInstanceFollowRedirects(false);
ИЛИ
Ознакомьтесь с этим документом AWS: https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html
Если вы отправляете POST, PUT, DELETE, OPTIONS или PATCH через HTTP с поведением кэша HTTP в HTTPS и версией протокола запроса HTTP 1.1 или выше, CloudFront перенаправляет запрос в местоположение HTTPS с Код состояния HTTP 307 (временное перенаправление). Это гарантирует повторную отправку запроса в новое место с использованием того же метода и полезной нагрузки тела.
Если вы отправляете запросы POST, PUT, DELETE, OPTIONS или PATCH по протоколу HTTP в поведение кэша HTTPS с протоколом запроса версия ниже HTTP 1.1, CloudFront возвращает Код состояния HTTP 403 (Запрещено).