1 回答
- 最新
- 投票最多
- 评论最多
1
原则上 Private Content 最佳实践就是 URL 或 Cookie 签署。 而 WAF 主要功能是做安全过滤,不是做内容的权限控管,所以用 WAF 可能不是你最佳的选择。
-
通常从第三方参考匿名访问资源的话,请求中会包含 referer[1] 这个栏位,会告诉你参考这个内容的原始网址。 你可以在 AWS WAF 中过滤这个栏位,对于不认识的网站就直接阻挡。
-
另外一个功能就是 CORS 跨源访问策略[2],你也可以管控跨站资源请求策略。
这两个功能都是可以透过修改 Client 浏览器行为绕过的机制,可以防止一般的没有技术背景的用户访问的情境。然而,防君子不防小人。 对于 Private Content 最好的解决办法还是签署 URL 或 Cookie。
[1] https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Referer [2] https://developer.mozilla.org/en-US/docs/Web/HTTP/CORS
已回答 1 年前