收藏
回答

云存储内容可直接访问,存在内容泄露等风险

框架类型 问题类型 终端类型 AppID 基础库版本
小程序 Bug 客户端 任何 任何

- 当前 Bug 的表现

   云存储的内容可直接访问,存在内容泄露等风险

   例如: http://(屏蔽).tcb.qcloud.la/banner1.jpg


- 预期表现

   调用getTempFileURL云函数才可获得有期限的真实链接

   

- 复现路径

   随便在云存储上传一个图片,在客户端抓包即可发现真实链接

最后一次编辑于  2019-06-08
回答关注问题邀请回答
收藏

2 个回答

  • さよ
    さよ
    2019-06-06

    链接是有时效性的

    2019-06-06
    赞同 1
    回复 1
    • FYY
      FYY
      2019-06-06

      这是我几天前抓包得到的连接,到现在仍然可以使用。这个时间跨度远大于getTempFileURL的24小时上限。

      2019-06-06
      回复
  • i
    i
    2019-06-08

    怎么抓包?

    2019-06-08
    赞同
    回复
登录 后发表内容