关于阿里云OSS 上传文件 policy OSSAccessKeyId signature安全问题
今天在使用的 VUE + plupload 做阿里云OSS上传时,一直有个问题纠结着我 在上传文件时:开发者模式》 Network 明显可以检测到: policy OSSAccessKeyId signature 这3个数据
如上图,当用户上传文件时,检测到这个数据后就完全可以把这个记下来,然后随意的无限制无脑上传文件,甚至获取OSS文件目录,删除文件,在OSS创建目录等等!
而我前端想限制上传文件的大小,类型等在暴露这个后毫无用处
我已经吧这个记录下来写死到 代码中测试了 完全可以不收任何限制的胡乱上传!
请问这种情况如何才能安全有效的限制用户行为? 还是说 阿里云OSS,不适合给用户使用?只适合自己使用吗?一直没搞懂这个问题
展开
收起
1
条回答
写回答
写回答
-
网络规划设计师、敏捷专家、CISP、ITSS服务经理、ACA全科目、ACP4项、ACE、CBP、CDSP、CZTP等。拥有 PRINCE2 Foundation/Practitioner、CCSK、ITIL、ISO27001、PMP等多项国际认证。 专利5+、期刊10+、知识产权师。核心期刊审稿人。您好: 1.oss bucket的权限可以设置私有权限。用户知道没有sk是不能上传文件到您的oss内的。参考:https://help.aliyun.com/document_detail/31898.html?spm=a2c4g.11186623.6.1808.a3f2c4c0S519Po 2.阿里云的文件必须使用ak和sk同时请求的。只知道了sk是不能去请求您的oss的。建议定期使用新的ak、sk。旧的删除掉。
2021-07-24 17:37:37赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
