我发现好多网站都是直接把密钥放前端

e4j · 发表于 2023-11-5 19:33:05

我看有不少正规站也是直接把腾讯云/阿里云的密钥直接放前端
有的是子账号密钥限制权限了，大多都是直接根账号权限
这些公司就不怕泄露后丢失数据吗

caigou · 发表于 2023-11-5 20:05:41

确定一下是公私还是私钥

e4j · 发表于 2023-11-5 20:12:24

hardwar 发表于 2023-11-5 20:09
举个栗子让mjj玩玩

诈骗网站的发过好多个了，正规的就不发了，出问题就废了

Crownsecular · 发表于 2023-11-16 11:41:24

这不收集一波偷偷做个图床

9501767a · 发表于 2023-11-16 11:17:51

那你以为每年几百T资料是怎么可以在网上随便下的

Hozoy · 发表于 2023-11-16 10:30:23

本帖最后由 Hozoy 于 2023-11-20 11:10 编辑

之前有的app人脸认证上传图片到oss，然后密钥什么的都在客户端里面存的

jimz · 发表于 2023-11-16 10:11:37

e4j 发表于 2023-11-5 20:17
前端html代码里

存储桶里还有微信支付的密钥什么乱七八糟的

厉害了都

hollc · 发表于 2023-11-14 14:34:51

这个刚好看过分析。上传有两种方法：一种是直接用户浏览器上传，另一种是上传到网站服务器再由网站服务器上传到oss。第二张成本很高，对网站服务器压力大，所以大家就都采用第一种。但第一种也不是没有安全的办法，就是通过后端生成一个一次性token，前段用这个token再上传到oss。至于为什么都是明文秘钥放前段，可能还是钱没给够，程序员不想给自己找麻烦

lili · 发表于 2023-11-6 02:12:54

一般情况下都是安全的

caigou · 发表于 2023-11-5 22:34:05

e4j 发表于 2023-11-5 20:09
我不确定，反正是可以直接操作桶内容，还可以用api操作整个账号的资源

这个叼，用匿名信箱给开发者联系一下吧，或者是当不知道了。

就怕好心被他们反口咬一波。

mimiphp · 发表于 2023-11-5 20:39:11

https://help.aliyun.com/zh/ram/u ... e-an-accesskey-pair
根据官方文档介绍，accesskeysecret是需要保密的！你说的这个情况一看就是前端程序员主导的项目！目前更多公司都是前端程序员主导项目，甚至多一次后端api请求对于他们来说都是不可原谅的性能消耗！所以从前端理解，直接能请求阿里官方api，为什么要后端接口单独支持？估计他们还觉得有云数据库，都是js操作拿数据，后端还有必要写sql语句？云数据库不比你单机数据库强大？等等思想在很多公司都是存在的！所以密钥放前端也是完全可以理解的了

e4j · 发表于 2023-11-5 20:17:32

本帖最后由 e4j 于 2023-11-5 20:19 编辑

99999 发表于 2023-11-5 20:12
密钥直接放前端可以直接下载吗？？

前端html代码里

存储桶里还有微信支付的密钥什么乱七八糟的

		自动登录	找回密码
密码			注册

[疑问] 我发现好多网站都是直接把密钥放前端

浏览过的版块