AWS LambdaからのCSRF攻撃の処理？

Question

通常、csrfトークンはサーバーによって生成され、クライアントに送信されます。クライアントがフォームを送信すると、トークンはサーバーに戻され、検証されます。

API GatewayとLambdaを使用している場合は、すべてのPOST/PUT要求が有効で、csrf攻撃から保護するにはどうすればよいですか？私が見つけることができる主題について書かれたことはあまりなく、生成されたcsrfトークンをどのように保持してすべてのラムダ関数がそれにアクセスできるかはわかりません。

これはAWSがすでに私のために処理しているものですか、それとも特別な方法で具体的に設定する必要がありますか？私は自分自身を行って（あるいはしようとした）ことをしていないものの

Answer 1

、2可能な解決策は次のようになります。

• 明白な1：AWSが提供するストレージのいずれかでデータを永続化
• 少ないです明白なもの：永続性を必要としないトークンを使用する。たとえば、JWT（JSON Webトークン）は、クライアント側のトークンを検証できるようにするために、すべてのサーバー（あなたの場合はラムダ関数）が共有秘密を知る必要がある限り、ステートレスに使用できます。以前に生成され、使用されたトークンを再使用しないようにするには（つまり、トークンが1回のみ使用されるようにする）、フォームを記述するトークンペイロードに、エンティティ識別子プラスバージョン番号などのデータを追加するか、トークンペイロードに有効期限のタイムスタンプを追加します。