我发现好多网站都是直接把密钥放前端

caigou · 发表于 2023-11-5 22:34:05

e4j 发表于 2023-11-5 20:09
我不确定，反正是可以直接操作桶内容，还可以用api操作整个账号的资源

这个叼，用匿名信箱给开发者联系一下吧，或者是当不知道了。

就怕好心被他们反口咬一波。

lili · 发表于 2023-11-6 02:12:54

一般情况下都是安全的

hollc · 发表于 2023-11-14 14:34:51

这个刚好看过分析。上传有两种方法：一种是直接用户浏览器上传，另一种是上传到网站服务器再由网站服务器上传到oss。第二张成本很高，对网站服务器压力大，所以大家就都采用第一种。但第一种也不是没有安全的办法，就是通过后端生成一个一次性token，前段用这个token再上传到oss。至于为什么都是明文秘钥放前段，可能还是钱没给够，程序员不想给自己找麻烦

jimz · 发表于 2023-11-16 10:11:37

e4j 发表于 2023-11-5 20:17
前端html代码里

存储桶里还有微信支付的密钥什么乱七八糟的

厉害了都

Hozoy · 发表于 2023-11-16 10:30:23

本帖最后由 Hozoy 于 2023-11-20 11:10 编辑

之前有的app人脸认证上传图片到oss，然后密钥什么的都在客户端里面存的

9501767a · 发表于 2023-11-16 11:17:51

那你以为每年几百T资料是怎么可以在网上随便下的

Crownsecular · 发表于 2023-11-16 11:41:24

这不收集一波偷偷做个图床

		自动登录	找回密码
密码			注册

[疑问] 我发现好多网站都是直接把密钥放前端