放在 Web 前端的缓存服务器/反向代理会缓存需要认证授权才能访问的文件吗?

2017-10-03 22:06:37 +08:00
 a251922581
比如一个文件 http://www.abc.com/cdn/1.jpg 本来直接访问的话服务器端都是通过查看 Cookie 等机制判断是否授权访问文件内容,某用户登录状态直接请求这个文件,服务器端返回了,那缓存服务器上也缓存了一份,以后别人访问该 URL 不是直接就能访问了吗?
或者 HTTP 的 Header 部分有控制访问权限和缓存权限的字段吗?那如果流氓缓存服务器不遵守 Header 强制缓存怎么办?
2708 次点击
所在节点    云计算
6 条回复
momocraft
2017-10-03 22:16:06 +08:00
缓存一份不等于不加认证. 反向代理总是能看到明文的, 认证错误导致泄漏只是可能的风险之一, 如果你不相信反向代理 (或不知道怎样让反向代理正确认证), 可能不用更安全.
choury
2017-10-03 22:44:10 +08:00
cache-control private
azh7138m
2017-10-04 10:40:30 +08:00
又拍 /七牛支持 token 鉴权
orancho
2017-10-04 12:46:59 +08:00
你直接搭个 S3 不就好了
atc
2017-10-04 15:26:38 +08:00
那就不要给出真实地址啊,用动态 URL
isCyan
2017-10-05 12:35:03 +08:00
又拍 /七牛回源鉴权

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/395329

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX