如何解决从PHP将临时AWS凭证输出到<script>标记是否安全?
我跳入了另一位开发人员构建的应用程序的工作,用于连接到AWS JavaScript SDK的方法是将临时凭证输出到脚本标签中。该代码在index.PHP文件中基本上看起来像这样:
<?PHP
$stsclient = StsClient::factory(array(
'credentials' => array(
'key' => 'thekey','secret' => 'thesecret'
)
));
$session = $stsclient->getSessionToken([
'DurationSeconds' => 129600
]);
$temp_creds = $session->get('Credentials');
?>
<script type="text/javascript">
AWS.config.update({
accessKeyId : '<?PHP echo $temp_creds['AccessKeyId']; ?>',secretAccessKey : '<?PHP echo $temp_creds['SecretAccessKey']; ?>',sessionToken: '<?PHP echo $temp_creds['SessionToken']; ?>'
});
AWS.config.region = 'us-east-1';
</script>
我知道应该使用配置文件选项和~/.aws/credentials文件来完成此操作,这样它就不会提交给公共回购协议,而我最终会这样做。
但是,将临时凭证输出到每次访问页面都会更改的页面上是否安全?
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
