|
|
AWS S3/Ruby on Rails/heroku:我的应用程序中的安全漏洞
|
1
|
| unsafe_where_true · 技术社区 · 15 年前 |
4 回复 | 直到 15 年前
|
|
1
4
最简单和最简单的解决方案是用随机的、不可访问的文件名命名S3资产,然后只向应该有权访问的人公开秘密url。
|
|
|
2
5
你可以试试这页上说的话: http://thewebfellas.com/blog/2009/8/29/protecting-your-paperclip-downloads
总结: S3有四个固定的访问策略,通过使用经过身份验证的读取策略,S3提供了一种为仅在指定时间段内工作的私有内容生成经过身份验证的URL的方法。
|
|
3
2
如果使用回形针,可以通过过期url限制对Amazon S3上存储的对象的访问。(如果您不介意使用过期的url) 这是GitHub上thoughtbot/paperclip的Wiki https://github.com/thoughtbot/paperclip/wiki/Restricting-Access-to-Objects-Stored-on-Amazon-S3 此外,在页面底部还有一些有用的链接,您可能不想错过。 |
|
|
4
0
也许我对你想完成什么感到困惑,但是S3有权限访问,需要在你提供给用户的url中有一个加密密钥。使用aws-s3 gem时,默认情况下启用此选项。因此,除非用户使用嵌入了加密密钥的链接,否则您不应该访问这些文件。这将要求您确保文件设置为“仅授权访问”。 可以找到更多信息 http://amazon.rubyforge.org/ 关于宝石。查找与访问控制相关的文档(我认为“authenticated_read”是您想要的)。 |
推荐文章
|
cluster1 · 采取独立的新行动的好处是什么? 1 年前 |
|
Robert · 使用JSON或哈希时,将NULL替换为NIL 1 年前 |
|
|
Fred Willmore · Rails控制器不呈现任何模板 1 年前 |
|
|
Diogo Amaral · 实现API请求的正确方式 1 年前 |
|
|
Meknassih · 在控制器方法中分配给模型没有任何作用 1 年前 |
|
|
Michael Ding · Rails上的默认会话到期问题 1 年前 |
|
Flávio · 基于另外两个生成数组 1 年前 |