请教阿里云 OSS 直传安全性问题

2021-04-26 10:22:26 +08:00
 brader

项目设计的时候,直传 OSS 没有完全按照阿里云给的方案,回调服务端这种模式。而是使用了如下模式:

  1. 前端请求后端获取临时授权 TOKEN
  2. 前端将文件上传到阿里云 OSS,得到文件 URL
  3. 前端将文件 URL 传给后端。

目前后端只做了简单的效验,就是效验前端给的文件 URL 的域名是否指定的域名。

担心:这个方案是否有很大漏洞?比如:给到后端的文件 URL 给换成了非法地址。

请问有更好一点的效验 URL 合法性的做法吗?

3524 次点击
所在节点    程序员
21 条回复
letitbesqzr
2021-04-26 16:11:57 +08:00
我记着腾讯云 cos 是可以对 content-length 头,或者文件 md5 进行签名。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/773270

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX