gpt4 book ai didi

amazon-web-services - 处理来自 AWS Lambda 的 CSRF 攻击?

转载 作者:行者123 更新时间:2023-12-04 15:40:10 25 4
gpt4 key购买 nike

通常,csrf token 由服务器生成,然后发送给客户端。当客户端提交表单时, token 被传递回服务器,然后服务器进行验证。

如果我只是使用 API Gateway 和 Lambda,我如何确保所有 POST/PUT 请求都是有效的,并防止 csrf 攻击?我能找到的关于该主题的文章并不多,而且我不确定如何保留生成的 csrf token ,以便所有 lambda 函数都可以访问它。

这是 AWS 已经为我处理的事情,还是我需要以特殊方式专门配置它?

最佳答案

虽然我自己还没有做过(甚至没有尝试过),但有两种可能的解决方案:

  • 显而易见的一个:将数据保存在 AWS 提供的其中一种存储中
  • 不太明显的一个:使用不需要持久性的 token 。例如,JWT(JSON Web token )可以无状态地使用,因为所有服务器(在您的情况下:lambda 函数)只需要知道一个共享 key 就可以验证客户端 token 。为了防止重复使用以前生成和使用过的 token (换句话说:确保 token 只使用一次),您可以将数据添加到描述表单的 token 有效负载中,例如使用实体标识符加版本号,或者干脆向 token 有效负载添加过期时间戳 - 无论适合您的用例。
  • 关于amazon-web-services - 处理来自 AWS Lambda 的 CSRF 攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44644240/

    25 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com