亚马逊S3限制访问移动应用上的一个特定的HTTP推荐
亚马逊使用这个例子来创建一个策略限制域访问:亚马逊S3限制访问移动应用上的一个特定的HTTP推荐
{
"Version":"2012-10-17",
"Id":"http referer policy example",
"Statement":[
{
"Sid":"Allow get requests originating from www.example.com and example.com.",
"Effect":"Allow",
"Principal":"*",
"Action":"s3:GetObject",
"Resource":"arn:aws:s3:::examplebucket/*",
"Condition":{
"StringLike":{"aws:Referer":["http://www.example.com/*","http://example.com/*"]}
}
}
]
}
这是伟大的,工作完全正常的网络应用程序,但没有澄清这在移动应用程序中的表现。我希望能够在我们的移动应用中显示这些图片,但我不确定这需要如何工作。
有没有人在这里有任何经验或可以指出我在正确的方向吗?我没有成功地搜索文档和做一些谷歌搜索。我会继续看。
移动应用程序必须设置HTTP referer标头,以表明它们尝试从该存储区加载的任何内容的请求。
很好,但它是如何验证域是属于我的。这不容易欺骗吗? – user2330898
没有域名所有权验证。是的,它很容易欺骗。如果您认为S3存储桶中的“引用者”限制非常安全,那么您就错了。如果你想要更好的东西,你可能需要在服务器端生成预先签名的URL –
那么甚至使用HTTP引用者策略又有什么意义呢? – user2330898
是什么让你觉得这将在移动应用中以不同的方式处理?在这方面,移动应用程序只是另一个HTTP客户端。源或Referer的设置与任何浏览器的原因相同。 –