个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我搜索了netlify docs我不明白这一点。
我在这里有一个无服务器功能
/.netlify/functions/orderCreate
但是我可以在浏览器中或使用curl点击它,它会尝试创建一个订单。如果攻击者发现此功能,他们可能会在我的数据库中创建数千个虚假订单。
我知道我可以做一些简单的检查,比如确保它是一个 HTTP post,或者确保它有一些有效的 session ID,但我真的想要某种类型的身份验证或更好的安全性。
因为所有请求应该通过ajax请求来自客户端React应用程序,我可以将其限制在同一个域或其他域中吗?
最佳答案
由于 Netlify 不提供基于来源检查和特定请求的方法,因此您可以从函数代码内部手动执行此操作,并在来源不是您的客户端域时发送 403 响应:
exports.handler = function(event, context, callback) {
if (event.headers["Origin"] !== "https://whateverisyourdomainname.netlify.com")
return callback(null, { status: 403 })
// else, do whatever your function does
}
最近的浏览器确实阻止用户自己设置 Origin header 。但是,没有什么可以阻止任何人制作 curl 请求并欺骗 Origin header 来访问您的函数。如果您希望真正阻止它,您应该为您的应用程序设置适当的身份验证过程。
关于javascript - 如何限制对 Netlify Serverless 功能的访问,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60221549/
25
4
0
在我的 serverless.yml 中,我使用 serverless-tscpaths 插件来解析 tsconfig 中定义的路径,并使用 serverless-plugin-optimize 来缩
我阅读了这个文档:https://serverless.com/framework/docs/providers/google/guide/services/ users/ serverless.
使用 Serverless framework ,我希望能够从环境变量更改 AWS 区域。 provider: name: aws region: ${env:AWS_REGION} 然后,A
我想开始使用无服务器框架来管理我公司的 lambda 部署,但我们处理 PHI 的安全性非常严格。我们的合规总监和 CTO 担心将我们的 AWS key 和 secret 传递给另一家公司。 当做 s
这是我的 serverless.yml 文件中的一个片段: Resources: LogGroupInfo: Type: 'AWS::Logs::LogGroup' Propert
我正在使用 AWS Aurora serverless 设置一个新数据库,并且需要启用 binlog。我想我已经按原样遵循了文档,但无法使其正常工作。我该如何设置? 按照文档,以下是我尝试启用 bin
我不想在 serverless.yml 中手动定义服务名称,而是想从 package.json 中读取 name 最佳答案 为了实现基于 package.json 应用程序名称的动态服务名称,我利用了
我将以下内容用作自定义 serverless-dotenv-plugin 插件配置: 风俗: dotenv: 路径:.env-${opt:stage, 'local'} 但我真正想得到的是当我不提供任
我正在使用无服务器模板并且一切正常,直到突然我的所有部署开始忽略 .env文件。 我搜索了documentation它说如果我想使用 .env 文件中的环境变量,我现在必须添加 useDotenv:
我正在使用新的无服务器 TypeScript monorepo 启动一个新项目!用过 aws-nodejs-typescript模板,它给出了 serverless.ts配置文件。几周后,我现在在命令
https://serverless.com/framework/docs/providers/aws/guide/serverless.yml/ provider: stackTags:
各位 我正在尝试设置我的第一个 NestJS 应用程序。它由 AWS 上的无服务器提供支持。 我创建了一个简单的 Controller ,它有一个服务作为依赖项。当我使用 HTTP 客户端访问端点时,
AWS::Serverless::Api 和 AWS::Serverless::HttpApi 之间有什么区别? 据我了解,AWS::Serverless::HttpApi 似乎配置了 HTTP AP
我正在尝试使用 serverless.yml 替换 @vendia/serverless-express v2 示例中的默认 sam-template,以便通过无服务器部署进行部署 https://g
I am new to using serverless framework ,I wanted to create three different environments dev,Qa,pr
我希望向本地运行的无服务器框架 Node 应用程序添加状态。我遇到了官方的 DynamoDb docker 镜像,我想使用无服务器框架以及在 localhost:8000 公开的 docker 上运行
我有一个 AWS CodeBuild 项目,它尝试安装无服务器框架,但在标题中返回错误,但它说框架已成功安装。我的理解是这无法安装 snappy 模块。为什么会这样?我该如何解决? 我在 builds
无服务器是云原生的子集或属性吗?或者是另一种方式——云原生是无服务器的子集或属性吗? Nathan Aw(新加坡) 最佳答案 云原生 是一种更通用的方法来构建和运行利用云计算的应用程序。 无服务器 更
Serverless 架构演进 Serverless架构风格挑战了软件设计和软件部署基础的现状,以实现最佳开发、最优运营和最优的管理开销。虽然它继承了微服务架构MSA的基本概念,但它已被赋予了新的
前言 当您第一次接触 Serverless 的时候,有一个不那么明显的新使用方式:与传统的基于服务器的方法相比,Serverless 服务平台可以使您的应用快速水平扩展,并行处理的工作更加有效。这
我是一名优秀的程序员,十分优秀!