数据使用相关安全建议方案--oss存储:

背景/风险

站库分离后,很多资源会存在云上的文件服务器,

如阿里云OSS;

使用时如不注意安全配置,会有一些安全风险,:

  1. 任何人可访问, 没访问控制
  2. 加了签名,但在url中,可呗获取(传输中过程任何环节、浏览器、历史记录等)
  3. url有效时间长,导致如为敏感信息,增加被找到的风险,与1结合

建议/方案

敏感信息如,图片、视频等要在第三方存储的,

鉴于图片存在第三方服务中,无法对c端用户进行访问图片服务的身份认证,只能基于第三方的 签名 来进行访问控制:
1、使用私有bucket保存, 注意一般不要用在url中签名的方式(会留下浏览记录,且在过期时间内任何人均可访问) 
2、签名使用在在heder里的方式,参考官方文档建议在Header中包含签名
https://help.aliyun.com/document_detail/31951.html?spm=a2c4g.11186623.6.1480.7d935869jm1bnp
讨论后该类图片资源链接有效期定在1min内
3、敏感信息图片添加水印 https://help.aliyun.com/document_detail/44957.html?spm=a2c4g.11186623.6.1306.bd5340afXXmf8g

原文地址:https://www.cnblogs.com/zjdyl/p/12744330.html