放在 Web 前端的缓存服务器/反向代理会缓存需要认证授权才能访问的文件吗?
a251922581 · 2017-10-03 22:06:37 +08:00 · 2703 次点击这是一个创建于 2592 天前的主题,其中的信息可能已经有所发展或是发生改变。
比如一个文件 http://www.abc.com/cdn/1.jpg 本来直接访问的话服务器端都是通过查看 Cookie 等机制判断是否授权访问文件内容,某用户登录状态直接请求这个文件,服务器端返回了,那缓存服务器上也缓存了一份,以后别人访问该 URL 不是直接就能访问了吗?
或者 HTTP 的 Header 部分有控制访问权限和缓存权限的字段吗?那如果流氓缓存服务器不遵守 Header 强制缓存怎么办?
或者 HTTP 的 Header 部分有控制访问权限和缓存权限的字段吗?那如果流氓缓存服务器不遵守 Header 强制缓存怎么办?
 |
1
momocraft 2017-10-03 22:16:06 +08:00
缓存一份不等于不加认证. 反向代理总是能看到明文的, 认证错误导致泄漏只是可能的风险之一, 如果你不相信反向代理 (或不知道怎样让反向代理正确认证), 可能不用更安全.
|
 |
2
choury 2017-10-03 22:44:10 +08:00
cache-control private
|
 |
3
azh7138m 2017-10-04 10:40:30 +08:00 via Android
又拍 /七牛支持 token 鉴权
|
 |
4
orancho 2017-10-04 12:46:59 +08:00
你直接搭个 S3 不就好了
|
 |
5
atc 2017-10-04 15:26:38 +08:00
那就不要给出真实地址啊,用动态 URL
|
 |
6
isCyan 2017-10-05 12:35:03 +08:00
又拍 /七牛回源鉴权
|
Select Language