如何解决S3 AWS 预签名 URL内容长度的安全问题
我想提供一种使用 AWS 预签名 URL 将文件上传到 S3 并限制文件大小的方法。根据这篇文章https://zaccharles.medium.com/s3-uploads-proxies-vs-presigned-urls-vs-presigned-posts-9661e2b37932,可以生成预签名的帖子 URL 并配置内容长度范围以限制上传文件大小。看起来很有希望,但我有一些安全问题:
- 我们真的可以相信内容长度吗?
- 我知道内容长度是一个禁止的标头 (https://developer.mozilla.org/en-US/docs/Glossary/Forbidden_header_name) 但是是什么阻止了黑客使用一个巨大的文件调用我的 s3 存储桶(使用预签名 URL 返回的策略)并覆盖content-length 标头的值很小?例如,使用 Postman 很容易覆盖这个值
谢谢,
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。