Cloudfront 坑爹的 Cookies 白名单

该文章根据 CC-BY-4.0 协议发表,转载请遵循该协议。
本文地址:https://fenying.net/post/2024/07/09/damn-cloudfront-origin-cookies-whitelist/

在 AWS Cloudfront 的回源策略(Origin Policy)中,有一个 Cookies 白名单功能。

官方说明如下:

The origin request settings allow you to receive some information from the viewer request, such as URL query strings, HTTP headers, and cookies, at the origin. For example, you might do this to collect data for analytics or telemetry.

以及示例图如下

Cookies whitelist in AWS Cloudfront origin policy

如图所示,大致意思就是你可以控制哪些 Cookies 需要被转发给源站。

你可以相信这一点,确实控制住了,但不能全信。如果你仔细观察一下,你就会发现,这里没有一个控制“哪些 Cookies 可以从源站发给客户端”的白名单。这就是坑爹的地方——它其实同时控制入向和出向 Cookies。

这天杀的白名单,浪费了我接近两个小时,害我查了半天 “消失的 Set-Cookie 响应头”。

comments powered by Disqus

翻译: