云存储权限应该如何设置?
发布于 7 年前 作者 szeng 8491 次浏览 来自 官方Issues

之前对云存储这一块的权限没怎么观注,最近开发的一个小程序被扫到一个很大的BUG,问题如下:

云存储权限最初设置:所有用户可读,仅创建者可读写,

然后就完蛋了,在浏览器中输入这个地址(这个地址很容易被扫出来):https://xxxxxxxxxxxxxxxxxxxx.tcb.qcloud.la,你会发现云存储中的文件

列表(XML)全部被显示出来了!!!就是说这些文件如果是客户资料的话就全部泄露了,而小程序的所有文档说明中都没提到这个,

仅看“所有用户可读,仅创建者可读写”这几个字鬼会知道会是这样子的情况!!!

好了,发现这个严重的问题了,那就解决吧,那就试试改权限吧:设置成仅创建者可读写

再打开上面那个网址,嗯。。。好象可以了,提示没有权限!再试试打开一张图片(URL)看看。。。等等。。。一样提示无权限。。。

再试试小程序中打开云存储的fileID,。。。什么鬼。。。一样打不开。。。玩笑开大了。。。

要不全开放,要不我自己都看不了,这是什么权限设置?

理想方案应该是文件列表不能被查出来 ,单个文件URL和fileID可以读取显示,请问该如何解决?

2 回复

搞定了,得用cloud.getTempFileURL将fileid转换成临时URL再显示,有时间限制。

设置成仅创建者可读写,图片地址要有正确的 sign 和 t 才能打开

回到顶部