文件服务器的安全性问题
wbpmrck opened this issue · comments
石头阿凯 commented
你好,最近在思考如何防止静态文件服务被盗链、或者通过模拟文件请求的方式攻击,不知道有没有什么好办法?
Jackson Tian commented
检查req.headers.refer
Jackson Tian commented
设置白名单。
石头阿凯 commented
1、如果我通过写工具去模拟正确的referer属性呢?
2、通过IP去过滤是否可行?
3、有必要使用url MD5的方式来做动态文件服务验证么
Jackson Tian commented
正常请求(浏览器)都是会传递referer的。
如果用工具模拟,属于攻击,不属于盗链了,这个时候用IP过滤是合理的。
url md5防不住的吧?
石头阿凯 commented
恩,最近也在纠结这个问题。目前打算只做到referer过滤盗链了。攻击的事情交给CDN了