OSS移动端上传回调如何保证bucket和object参数正确?
问题描述
browser.js中设置回调参数
const options = { callback: { // 设置回调请求的服务器地址。url: 'http://examplebucket.aliyuncs.com:23450', // 设置回调请求消息头中Host的值,即您的服务器配置的Host值。// host: 'oss-cn-hangzhou.aliyuncs.com',// 设置发起回调时请求body的值。body: "bucket=${bucket}&object=${object}&etag=${etag}&size=${size}&mimeType=${mimeType}&imageInfo.height=${imageInfo.height}&imageInfo.width=${imageInfo.width}&imageInfo.format=${imageInfo.format}&my_var=${x:my_var}", // 设置发起回调请求的Content-Type。// contentType: 'application/x-www-form-urlencoded',// 设置发起回调请求的自定义参数。customValue: { var1: 'value1', var2: 'value2' } } }
但是body中bucket和object的值可以变更,比如:body: "bucket=1&object=2&etag=3&size=4&mimeType=5&imageInfo.height=6&imageInfo.width=7&imageInfo.format=8&my_var=${x:my_var}"
按说系统参数,应该不能修改,这样会导致,黑客截获报文后,设置了自己的文件相关的信息,回调结果中,获取的不是本次真实上传到文件,而是黑客想要回调的文件信息。
期望结果
回调结果中,系统参数应该不能修改。
已尝试的方法
- body中不写bucket 和 object时,回调结果中没有bucket 和 object的值
- body中bucket 和 object随意赋值时,回调结果中是之前的赋值数据。但是应该是真实上传的文件数据才对。
写回答
-
这个 bucket 和 object 是本次上传时使用的值,参考 https://help.aliyun.com/document_detail/31989.html#section-mnr-xbs-ggb 中 callbackBody 的参数说明。这个随意赋值具体是指什么意思?是说黑客篡改了options参数里面的值嘛?
2023-01-04 15:53:23赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
