放在 Web 前端的缓存服务器/反向代理会缓存需要认证授权才能访问的文件吗？

2017-10-03 22:06:37 +08:00

a251922581

比如一个文件 http://www.abc.com/cdn/1.jpg 本来直接访问的话服务器端都是通过查看 Cookie 等机制判断是否授权访问文件内容，某用户登录状态直接请求这个文件，服务器端返回了，那缓存服务器上也缓存了一份，以后别人访问该 URL 不是直接就能访问了吗？
或者 HTTP 的 Header 部分有控制访问权限和缓存权限的字段吗？那如果流氓缓存服务器不遵守 Header 强制缓存怎么办？

2582 次点击

所在节点

云计算

6 条回复

momocraft

2017-10-03 22:16:06 +08:00

缓存一份不等于不加认证. 反向代理总是能看到明文的, 认证错误导致泄漏只是可能的风险之一, 如果你不相信反向代理 (或不知道怎样让反向代理正确认证), 可能不用更安全.

choury

2017-10-03 22:44:10 +08:00

cache-control private

azh7138m

2017-10-04 10:40:30 +08:00

又拍 /七牛支持 token 鉴权

orancho

2017-10-04 12:46:59 +08:00

你直接搭个 S3 不就好了

atc

2017-10-04 15:26:38 +08:00

那就不要给出真实地址啊，用动态 URL

isCyan

2017-10-05 12:35:03 +08:00

又拍 /七牛回源鉴权

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/395329

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.