最近想着把自己网盘的文件直链分享给家人下载,就把 Alist 用 CloudFlareTunnel 搞了下内网穿透,然后发现不对劲,把直链
https://yuming.com/d/115/1.txt 后面的 1.txt 改成 2.txt 就可以直接下载网盘内存在的 2.txt ,同理可以遍历尝试下载其他文件。
搜了下发现添加存储库时"签名"选项没有默认启用,以至于有这种被扫绕过直接下载的风险,对我这种添加存储是网盘根目录,设置都是默认的小白有一定的风险,建议类似的朋友自查下存储库是否开启签名,或者直接全局选项签名所有
官方文档
https://alist.nn.ci/zh/config/global.html#%E7%AD%BE%E5%90%8D%E6%89%80%E6%9C%89[img]
[/img]
issues
https://github.com/alist-org/alist/issues/5561这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
https://www.v2ex.com/t/1056542
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.