贴图库家的程序员真牛 b，『没时间解释』

2017-04-10 19:39:08 +08:00

only0jac

今天看贴图库开发文档的时候，发现：

因为 token 固定，我就想这样岂不是能让别人随意上传到自己相册？

加他们官方群想问问，运营说这只是个例子

然后我又问，如果纯前端，不经过后端的话，怎么能保证安全，此时我艾特了他们的两个技术

没时间解释……

过了一会又答非所问：

我给他解释了一遍，此时！！！他回复：

嗯，我的网站不牛逼，不用了行不行，你们又不缺我一个用户

不过，以后在网上碰到有让推荐图床的，我会说：千万别用贴图库！

要是有人问贴图库好不好

我就回复：贴图库不好，千万别用贴图库:)

最后说一句，其实贴图库真的能上传到别人的相册

=========

记得有吐槽节点来着，怎么没了

9525 次点击

所在节点

67 条回复

580a388da131

2017-04-11 18:33:48 +08:00

纯前端没办法，即便是七牛，也得有个后端获取有有效期的 token 。

only0jac

2017-04-11 19:12:39 +08:00

@phithon 那你就把 Token 和文件名一起 md5 以后

token 这不是又到了前端暴露？

kaer

2017-04-11 20:08:18 +08:00

一直用七牛
贴图库免费的时候就在她们群里
但是从没用过一直不相信她们

phithon

2017-04-11 20:35:32 +08:00

@only0jac 但你原始 token 没有暴露呀，这个新 Token 只是个签名而已，用户如果要上传其他文件（文件名不同），就必须要一个新的签名，只要原始 Token 没有暴露，用户就不能随便上传内容。

jy02534655

2017-04-12 09:34:25 +08:00

楼主可以参考下阿里云的前端上传示例，这种做法就比较安全了。楼主用的图床理论上应该有类似的用法吧，没用过不发表意见

import

2017-04-12 19:08:38 +08:00

这个 token 是用来做 CSRF 验证的么？？

only0jac

2017-04-12 19:29:34 +08:00

@kaer 用大厂子放心点

@jy02534655 阿里云的哪个例子？

@import 单纯的上传验证

第 4 页／共 4 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.