新疆时时彩三开奖结果走势图:七牛云到底有多垃圾?用七牛云需要知道的事,不然不小心就一套房没了

soゝso 2019-07-04 16:26:54 28242

新疆时时彩官网网站 www.lafwn.tw 本站从13年起步就开始用七牛云存储,站长本人也算是走到一个公司,有用其他云存储的,我就把它换成七牛云,没有用上云存储的,我就上七牛云。算是七牛的粉丝了。现如今,七牛越来越壮大了,但是产品缺越来越不如意了,不好用,不会用到各种问题频发。

本站的主业务已经从七牛云迁移到又拍云。目前合作了近一年,还算不错。小问题总会有的,但是大问题、攻击问题都会解决的较为完美。

七牛云安全问题

前端上传的可以随意XSS

可能用七牛云的大站点都被  XSS  了,就是被非法注入了。我知道的就有几个,比如说csdn,马蜂窝,比如说什么粉粉日记,小猪什么的APP,都是可以  XSS  ,因为七牛上传的时候,在页面抓包拿到token,您就可以随意上传了。上传自己的文件。

举个栗子:

比如CSDN的获取token:https://edu.csdn.net/qiniu_service/getToken

{
	"status": 1,
	"msg": "success",
	"token": "pK-x2BOx9YhUJtp6VYSKAHUDe4_7ih_doN3ZY8Og:IMRWAoSdFqd省略.......",
	"domain": "https:\/\/img-bss.csdn.net\/"
}

当然这有时效性,但是失效后您可以再次获取。

看看测试结果:https://img-bss.csdn.net/mytest09.html 复制此链接去浏览器打开,您可以看到可以插入内容,并且可以插入脚本。

本站当然也被恶意搞过,就这个问题我向七牛提交过工单,没有解决方案,并且装聋作哑的回复我从没有这种问题。

如果token权限过大,都可以把您的空间内容全部清空。csdn这个问题,我没这么做过,不敢尝试,损失巨大。

解决方案:

1. Token区分上传文件类型:token生成的时候可以指定上传文件类型,包括一些其他的参数,单凭前端判断完全是不行的。

2. 前端上传  JS  脚本由官方提供各种Demo,应该提供一些简单的算法防止盗用提交。简单来讲,就是一系列计算,计算生成的值服务端不能重复使用。

3. 等等。。。

七牛费用问题,不小心就一套房没了

以前本站陆续遇到这种问题,我自己解决了,也觉得情有可原。

但是,这次一个IP,持续 5 天请求了我1800GB,主要是 2 天完成的,而且是同一个静态文件,这个就说不通了。先来看看这张七牛提供的统计图。


这个IP:221.216.95.177,先不管什么仇什么恨,3天可以请求这么多。无论如何不应该。而且七牛没有任何邮件和短信提醒。

我们再看看下面的七牛提供的流量截图,这个域名一直都是业务比较稳定,一天几十MB ~ 上百MB。突然翻了几百倍,居然没有任何提示,包括短信、邮件、站内信。


幸好对方还算手下留情,要不然,我估计几天就没了一套房。

七??头滴?,对于我说的这些问题,老用因为....来回答我。

不管怎么样,从用户的体验角度来讲,流量一下子翻了几百倍,无论如何都要有所提醒,然后引导用户去检查与操作。

换个角度,如果收到攻击、或者恶意请求、或者正常流量突然翻了几百倍,作为七牛一个厂商来讲,如果发了邮件+短信给用户,我觉得用户体验会提升很大,用户也没P话讲。

此处不得不怀疑七牛云是否就是放纵这种行为。坐等收钱。

解决方案:

1.如果您用的是七牛云存储,或者七牛CDN,请您以1~2个小时的频率,经??纯雌吲5牧髁客臣?。

2.每个域名设置好提醒阈值。设置地方:融合CDN—>域名管理—>找到您对应的域名—>点配置—>流量带宽告警配置,这里配置按宽带和流量设置。

配置技巧:

    建议使用带宽阈值来配置,另外要确认您的联系方式是可用的。

使用七牛注意事项

1.无论如何经常去七牛后台看看

    看看整体的统计,看看存储的内容是不是您自己存储的,因为抛开有人恶意来搞您,我们也可以用别人的七牛token上传图片到七牛,然后用七牛的API去压缩裁剪图片。

2.删除文件,必须刷新链接。

    我昨天删除了恶意请求的链接,直到今天还是有200MB的流量??头钦饷椿卮鹞业?,必须刷新,要不然过了一天还是有缓存??头硎究梢晕页渲岛笤鸵坏愦鹑?,我表示不用了。


再我看来,我觉得删除文件,应该自动刷新。

3.使用  七牛云  不要让别人看得到您的token

    如果你采用前端上传直接到七牛,那您的token怎么样也要加密一下,其实这只能防君子,因为token加密后,您前端要解密后传输给七牛云,这个时候必须是七牛云看得懂的。所以尽量别前端上传。


版权所属:SO JSON在线解析

原文地址://www.lafwn.tw/blog/334.html

转载时必须以链接形式注明原始出处及本声明。

本文主题:

如果本文对你有帮助,那么请你赞助我,让我更有激情的写下去,帮助更多的人。

相关文章
SDK下载地址大全,Java Jar包在线下载
Maven项目使用,以及注意事项。
不是Maven项目怎么引入Maven 方式的Jar包(篇)
利用镜像扒网站的源代码,操作视频讲解。
阿里的服务态度就是坨屎,阿里你自己来看下你的服务。
Java生成验证码合集()简单版
N系统单点登录,实现、解决方案。四种解决方案
多说迁移,Java开发模仿自主实现评论(
IE、Firefox对同域名访问并发限制,及解决优化方案
SOJSON动态端加载,HTML5页面源码(下载),SOJSON特效
最新文章
又拍云(Upyun)CDN、云存储刷新链接缓存,API实例讲解 10
Linux Centos 使用 Redis service 启动,Redis service 脚本编写 39
恭喜SOJSON获得阿里云618“上云接力赛”第一名,获得代金券6.18万 203
Springboot 集成Freemarker 自定义标签解决方案 526
七牛云到底有多垃圾?用七牛云需要知道的事,不然不小心就一套房没了 28240
JavaScript怎么识别360浏览器?JS识别360急速模式方案,360流氓浏览器 1092
关于本站所有JavaScript 加密、混淆、解密、美化等安全说明 1841
Jsoup 提交参数乱码,解决思路,解决过程及解决方案 841
生成新浪短网址、百度短网址,t.cn / dwz.cn 的生成方式,短链还原 866
ICP怎么操作取消备案,企业、个人怎么自己申请取消备案? 635
最热文章
免费天气API,全国天气 JSON API接口,可以获取五天的天气预报 180013
Elasticsearch教程(四) elasticsearch head 插件安装和使用 140506
我为什么要选择RabbitMQ ,RabbitMQ简介,各种MQ选型对比 138316
苹果电脑Mac怎么恢复出厂系统?苹果系统怎么重装系统? 89449
Elasticsearch教程(六) elasticsearch Client创建 82570
Elasticsearch教程(一),全程直播(小白级别) 78881
Elasticsearch教程(二),IK分词器安装 77728
Elasticsearch教程(八) elasticsearch delete 删除数据(Java) 77180
Elasticsearch教程(五) elasticsearch Mapping的创建 70758
免费天气API,天气JSON API,不限次数获取十五天的天气预报 60905

骚码加入我们 / 千人QQ群:259217951

入群需要5元,如果没有QQ钱包,可以先Alipay、微信,赞助然后加群主拉进。

二维码生成 来自 >> 二维码生成器。

支付扫码

所有赞助/开支都讲公开明细,用于网站维护:赞助名单查看

正在加载... ...