Home Sign Up Sign In
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
a251922581
V2EX  ›  云计算

放在 Web 前端的缓存服务器/反向代理会缓存需要认证授权才能访问的文件吗?

  •   
  •   a251922581 · Oct 3, 2017 · 3412 views
    This topic created in 3151 days ago, the information mentioned may be changed or developed.
    比如一个文件 http://www.abc.com/cdn/1.jpg 本来直接访问的话服务器端都是通过查看 Cookie 等机制判断是否授权访问文件内容,某用户登录状态直接请求这个文件,服务器端返回了,那缓存服务器上也缓存了一份,以后别人访问该 URL 不是直接就能访问了吗?
    或者 HTTP 的 Header 部分有控制访问权限和缓存权限的字段吗?那如果流氓缓存服务器不遵守 Header 强制缓存怎么办?
  • header
  • 缓存
  • 权限
  • 服务器
    6 replies    2017-10-05 12:35:03 +08:00
    momocraft
        1
    momocraft  
       Oct 3, 2017
    缓存一份不等于不加认证. 反向代理总是能看到明文的, 认证错误导致泄漏只是可能的风险之一, 如果你不相信反向代理 (或不知道怎样让反向代理正确认证), 可能不用更安全.
    choury
        2
    choury  
       Oct 3, 2017
    cache-control private
    azh7138m
        3
    azh7138m  
       Oct 4, 2017 via Android
    又拍 /七牛支持 token 鉴权
    orancho
        4
    orancho  
       Oct 4, 2017
    你直接搭个 S3 不就好了
    atc
        5
    atc  
       Oct 4, 2017
    那就不要给出真实地址啊,用动态 URL
    isCyan
        6
    isCyan  
       Oct 5, 2017
    又拍 /七牛回源鉴权
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   3902 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 41ms · UTC 04:15 · PVG 12:15 · LAX 21:15 · JFK 00:15
    ♥ Do have faith in what you're doing.