默认情况下,Api Gateway会将307重定向到任何不安全的http请求。我很高兴http被禁止,但我的安全问题是http库将透明地遵循重定向,开发人员甚至不会注意到他们发送的敏感标头值(api令牌)是不安全的。而不是重定向,我宁愿Api Gateway响应403 Forbidden或类似的东西,所以开发人员知道他们应该停止通过http发送他们的令牌。这可能吗?
对于API方面:connection.setInstanceFollowRedirects(false);
要么
如果使用HTTP到HTTPS缓存行为和HTTP 1.1或更高版本的请求协议版本通过HTTP发送POST,PUT,DELETE,OPTIONS或PATCH,CloudFront会将请求重定向到具有HTTP状态代码307的HTTPS位置(临时重定向) )。这保证了使用相同的方法和主体有效载荷将请求再次发送到新位置。
如果通过HTTP将POST,PUT,DELETE,OPTIONS或PATCH请求发送到HTTPS缓存行为,请求协议版本低于HTTP 1.1,CloudFront将返回HTTP状态代码403(禁止)。