V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
a251922581
V2EX  ›  云计算

放在 Web 前端的缓存服务器/反向代理会缓存需要认证授权才能访问的文件吗?

  •  
  •   a251922581 · 2017-10-03 22:06:37 +08:00 · 2721 次点击
    这是一个创建于 2610 天前的主题,其中的信息可能已经有所发展或是发生改变。
    比如一个文件 http://www.abc.com/cdn/1.jpg 本来直接访问的话服务器端都是通过查看 Cookie 等机制判断是否授权访问文件内容,某用户登录状态直接请求这个文件,服务器端返回了,那缓存服务器上也缓存了一份,以后别人访问该 URL 不是直接就能访问了吗?
    或者 HTTP 的 Header 部分有控制访问权限和缓存权限的字段吗?那如果流氓缓存服务器不遵守 Header 强制缓存怎么办?
    6 条回复    2017-10-05 12:35:03 +08:00
    momocraft
        1
    momocraft  
       2017-10-03 22:16:06 +08:00
    缓存一份不等于不加认证. 反向代理总是能看到明文的, 认证错误导致泄漏只是可能的风险之一, 如果你不相信反向代理 (或不知道怎样让反向代理正确认证), 可能不用更安全.
    choury
        2
    choury  
       2017-10-03 22:44:10 +08:00
    cache-control private
    azh7138m
        3
    azh7138m  
       2017-10-04 10:40:30 +08:00 via Android
    又拍 /七牛支持 token 鉴权
    orancho
        4
    orancho  
       2017-10-04 12:46:59 +08:00
    你直接搭个 S3 不就好了
    atc
        5
    atc  
       2017-10-04 15:26:38 +08:00
    那就不要给出真实地址啊,用动态 URL
    isCyan
        6
    isCyan  
       2017-10-05 12:35:03 +08:00
    又拍 /七牛回源鉴权
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1883 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 00:01 · PVG 08:01 · LAX 16:01 · JFK 19:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.