1
我在S3上存儲用戶圖像,默認情況下是可讀的。如何防止在S3上暴力破解文件下載?
我需要直接從網絡訪問圖像。
但是,我想阻止黑客強制URL和下載我的圖像。
例如,我的S3圖像URL是在http://s3.aws.com/test.png
他們可以蠻力測試並下載所有的內容?
我無法將我的存儲桶中的項目設置爲專用,因爲我需要直接從Web訪問。
任何想法如何預防它?
A
回答
4
使用高安全性不會影響您「直接從Web訪問」的能力。如果使用適當的權限,則可以從Web訪問Amazon S3中的所有內容。
默認情況下,Amazon S3中的所有內容都是私有的。
權限來訪問內容就可以被分配在幾個方面:
- 直接的對象上(例如,使物體「公共」)
- 通過一個桶政策(如許可證如果從特定範圍的IP地址訪問,則在一天中的特定時間訪問子目錄,但只能通過HTTPS訪問)
- 通過分配給的策略IAM用戶 (這需要用戶在訪問亞馬遜S3時驗證)
- 通過有時間限制的Pre-signed URL
最有趣的是預簽名URL。這是一個計算的 URL,允許在有限的時間內訪問Amazon S3對象。應用程序可以生成預先簽名的URL並將該鏈接包含在網頁中(例如,作爲<img>標記的一部分)。這樣,您的應用程序將確定用戶是否被允許訪問對象,並且可以限制該鏈接工作的持續時間。
1
您應該保持內容的安全,並使用Pre-signed URLs僅允許訪問您的網站的授權訪問者。您必須編寫一些代碼才能使其工作,但它很安全。
相關問題
- 1. 防止對MySQL的暴力破解?
- 2. 如何防止暴力攻擊?
- 3. Psexec暴力破解憑證
- 4. 暴力破解 - 的StackOverflowError
- 5. 如何防止Iframe破解
- 6. 如何防止webkit破解長文本
- 7. 設計數據庫以記錄失敗登錄以防止暴力破解
- 8. 防止文件下載,RoR
- 9. PHP文件下載防止
- 10. 防止文件下載
- 11. 防止PHP文件下載
- 12. MD5多線程暴力破解
- 13. 防止下載大量的公共S3文件?
- 14. 防止從亞馬遜s3直接下載音頻文件
- 15. C++或Python:暴力破解查找文本在許多網頁
- 16. AWS Cognito用戶羣如何抵禦暴力破解攻擊
- 17. 如何有效防止目錄暴力強制?
- 18. 您如何防止對RESTful數據服務的暴力攻擊
- 19. 如何防止使用Amazon S3進行雙重文件上傳?
- 20. 如何在下載過程中解密AWS S3文件?
- 21. 如何防止下載巧克力包的NuGet恢復?
- 22. 文件下載力
- 23. 如何防止在運行時下載相同的JSON文件?
- 24. 如何防止在iframe中下載嵌入式html文件?
- 25. 防止下載?
- 26. VB.net文件下載防止回發
- 27. 防止下載重複的Javascript文件
- 28. 防止IFRAME下載的SWF文件
- 29. 如何從php下載s3文件?
- 30. 如何防止itemeditor破壞?
第一個建議是沒有可預測的文件名... –
迴應@RowlandShaw所說的,你可以嘗試使用諸如UUID之類的東西作爲文件名。 –
@mbaird,但這並不能防止暴力強制。他們至少可以獲得100萬次嘗試。 – moeseth