AWS CloudFront APIとLambdaを使用してクラウドフロントクッキーを作成するアプリケーションがあります。残念ながら、標準のHTTPレスポンス形式を使用してCookieを設定することはできず、HTMLページからユーザーのブラウザにcookieを設定するためにdocument.cookieを使用する必要があります。クッキーには、コンテンツへのアクセスを許可するポリシー、クッキーの真正性を確認するための署名、およびキーペアIDが含まれています。ラムダのバックエンドスクリプトは、クッキーを作成してペイロードとしてリクエスタに送信します。ペイロードは、document.cookieに変数として渡されます。Javascript - security of document.cookie
私はcookie(HttpOnly、セッションCookie、安全なフラグなど)の保護について多くのことを読んでおり、document.cookieのセキュリティリスクを理解しようとしています。セキュリティのコンテキストで、Httpレスポンスとdocument.cookieを使用してCookieを設定することに違いがありますか? Cookieがクライアントサイドで作成され、ページが読み込み中であっても他のコンテンツにアクセスできるようにするため、悪意のあるユーザーがCookieに独自のポリシーを挿入することは可能でしょうか?ここで
は、参考のためにいくつかのコードです:
payload = data["Payload"]
jsoned = JSON.parse(payload)
cookie = jsoned['cookie']
redirectUrl = jsoned['redirectUrl']
document.cookie = 'CloudFront-Policy' + "=" + cookie['CloudFront-Policy'] + "; path=/mydirectory";
document.cookie = 'CloudFront-Key-Pair-Id' + "=" + cookie['CloudFront-Key-Pair-Id'] + "; path=/mydirectory"
document.cookie = 'CloudFront-Signature' + "=" + cookie['CloudFront-Signature'] + "; path=/mydirectory"
私の最初の時間はこれに掲示します。事前に助けてくれてありがとう。
-Ken
私はCloudFront Signatureがこのいたずら防止メカニズムを提供していると信じています。 – user3044005
ありがとう!私はクッキーに保存されているものをもう一度見てみましょう。 – user3044005