HTTP 引荐来源网址 - AWS、Sharepoint 和浏览器

Posted 2023-04-14

【中文标题】HTTP 引荐来源网址 - AWS、Sharepoint 和浏览器

【英文标题】：HTTP referrer - AWS, Sharepoint and browsers

【发布时间】：2018-05-19 14:08:50

【问题描述】：

我已将一些文件上传到 S3 存储桶。为了限制访问，我设置了一个带有 HTTP 引荐来源网址的存储桶策略，允许从 Sharepoint 站点进行重定向。我使用 Sharepoint 是因为获得了访问 S3 文件的用户的授权。这工作正常。但仅限于 Firefox！

搜索后似乎其他浏览器（我尝试过 Chrome 和 Edge）阻止了 HTTP 引荐来源网址？是什么赋予了？

我当然可以通过 AWS 和 IAM 提供访问权限，但这会使事情变得有些复杂。此时，使用 O365 进行访问控制似乎是最简单的。但我不想强迫客户使用 Firefox。

（注意：根据您可能会问为什么不使用 Sharepoint 来托管文件的信息。我有一个静态 html，在 S3 上设置非常容易。但也许在 Sharepoint 上有一些替代方案？）

【问题讨论】：

两个网址都使用https吗？你的 Firefox 版本是什么

@feast 是的，两者都使用 https。火狐量子 57.0.2

【参考方案1】：

考虑这是否真的是您想要的，如果您使用 http 引荐来源网址策略，实际上任何人都可以访问该资源，正如您从这个答案中看到的那样：https://security.stackexchange.com/a/135706 所以它没有提供任何真正的保护。

在这种情况下，您可能决定只授予任何人访问权限，就像来自亚马逊的 aws documentation:

向匿名用户授予只读权限

以下示例策略将 s3:GetObject 权限授予任何公共匿名用户。 （有关权限列表及其允许的操作，请参阅Specifying Permissions in a Policy.）此权限允许任何人读取对象数据，当您将存储桶配置为网站并希望每个人都能够读取存储桶中的对象。

  "Version":"2012-10-17",
  "Statement":[
    
      "Sid":"AddPerm",
      "Effect":"Allow",
      "Principal": "*",
      "Action":["s3:GetObject"],
      "Resource":["arn:aws:s3:::examplebucket/*"]
    
  ]

警告 授予对 S3 存储桶的匿名访问权限时要小心。当您授予匿名访问权限时，世界上的任何人都可以访问您的存储桶。我们强烈建议您永远不要向您的 S3 存储桶授予任何类型的匿名写入权限。