Отключить перенаправление AWS Api Gateway http -> https 307

Question

По умолчанию Api Gateway отвечает перенаправлением 307 на любой незащищенный HTTP-запрос. Я согласен с тем, что http запрещен, но моя проблема безопасности заключается в том, что библиотеки http будут прозрачно следовать перенаправлению, и разработчики даже не заметят, что они отправили свои конфиденциальные значения заголовка (токен API) незащищенными. Вместо перенаправления я бы предпочел, чтобы Api Gateway ответил 403 Forbidden или чем-то в этом роде, поэтому разработчики знают, что они должны прекратить посылать свои токены через http. Возможно ли это?

Answer 1

Для стороны API: connection.setInstanceFollowRedirects (false);

ИЛИ

Оформить этот AWS DOC: https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html

Если вы отправляете POST, PUT, DELETE,ОПЦИИ, или PATCH по HTTP с поведением кэша HTTP-HTTPS и версией протокола запроса HTTP 1.1 или выше , CloudFront перенаправляет запрос в местоположение HTTPS с HTTPкод состояния 307 (временное перенаправление) .Это гарантирует повторную отправку запроса в новое местоположение, используя тот же метод и полезную нагрузку тела.

Если вы отправляете запросы POST, PUT, DELETE, OPTIONS или PATCH через HTTP в HTTPS с использованием протокола запроса версия ниже HTTP 1.1 , CloudFront возвращает код состояния HTTP 403 (запрещено) .