HTTP 引荐来源网址 - AWS、Sharepoint 和浏览器
Posted
技术标签:
【中文标题】HTTP 引荐来源网址 - AWS、Sharepoint 和浏览器【英文标题】:HTTP referrer - AWS, Sharepoint and browsers 【发布时间】:2018-05-19 14:08:50 【问题描述】:我已将一些文件上传到 S3 存储桶。为了限制访问,我设置了一个带有 HTTP 引荐来源网址的存储桶策略,允许从 Sharepoint 站点进行重定向。我使用 Sharepoint 是因为获得了访问 S3 文件的用户的授权。这工作正常。但仅限于 Firefox!
搜索后似乎其他浏览器(我尝试过 Chrome 和 Edge)阻止了 HTTP 引荐来源网址?是什么赋予了?
我当然可以通过 AWS 和 IAM 提供访问权限,但这会使事情变得有些复杂。此时,使用 O365 进行访问控制似乎是最简单的。但我不想强迫客户使用 Firefox。
(注意:根据您可能会问为什么不使用 Sharepoint 来托管文件的信息。我有一个静态 html,在 S3 上设置非常容易。但也许在 Sharepoint 上有一些替代方案?)
【问题讨论】:
两个网址都使用https吗?你的 Firefox 版本是什么 @feast 是的,两者都使用 https。火狐量子 57.0.2 【参考方案1】:考虑这是否真的是您想要的,如果您使用 http 引荐来源网址策略,实际上任何人都可以访问该资源,正如您从这个答案中看到的那样:https://security.stackexchange.com/a/135706 所以它没有提供任何真正的保护。
在这种情况下,您可能决定只授予任何人访问权限,就像来自亚马逊的 aws documentation:
向匿名用户授予只读权限
以下示例策略将 s3:GetObject 权限授予任何公共匿名用户。 (有关权限列表及其允许的操作,请参阅Specifying Permissions in a Policy.)此权限允许任何人读取对象数据,当您将存储桶配置为网站并希望每个人都能够读取存储桶中的对象。
"Version":"2012-10-17",
"Statement":[
"Sid":"AddPerm",
"Effect":"Allow",
"Principal": "*",
"Action":["s3:GetObject"],
"Resource":["arn:aws:s3:::examplebucket/*"]
]
警告 授予对 S3 存储桶的匿名访问权限时要小心。当您授予匿名访问权限时,世界上的任何人都可以访问您的存储桶。我们强烈建议您永远不要向您的 S3 存储桶授予任何类型的匿名写入权限。
【讨论】:
以上是关于HTTP 引荐来源网址 - AWS、Sharepoint 和浏览器的主要内容,如果未能解决你的问题,请参考以下文章
实施 HTTP 到 HTTPS 重定向,保留 Google Analytics(分析)引荐来源网址
尽管政策允许我的站点引荐来源网址,但 S3 存储桶上的 copyObject 访问被拒绝