采用JS客户端直接签名有一个很严重的安全隐患。就是OSS AccessId/AccessKey暴露在前端页面。可以随意拿到AccessId/AccessKey,这是非常不安全的做法。 本文将此例子进化,签名及上传policy从后端php代码取。
请求逻辑是:
- 客户端要上传图片时,到应用服务器取上传的policy及签名。
- 客户端拿到签名直接上传到OSS。
示例
用户电脑浏览器测试样例:点击这里打开示例程序
用手机测试该上传是否有效。二维码:可以用手机(微信、QQ、手机浏览器等)扫一扫试试(这个不是广告,只是上述网址的二维码。这为了让大家看一下这个实现能在手机端完美运行)。
代码下载