收藏
回答

云存储内容可直接访问,存在内容泄露等风险

框架类型 问题类型 终端类型 AppID 基础库版本
小程序 Bug 客户端 任何 任何

- 当前 Bug 的表现

   云存储的内容可直接访问,存在内容泄露等风险

   例如: http://(屏蔽).tcb.qcloud.la/banner1.jpg


- 预期表现

   调用getTempFileURL云函数才可获得有期限的真实链接

   

- 复现路径

   随便在云存储上传一个图片,在客户端抓包即可发现真实链接

最后一次编辑于  2019-06-08
回答关注问题邀请回答
收藏

2 个回答

  • 小夜君
    小夜君
    2019-06-06

    链接是有时效性的

    2019-06-06
    有用 1
    回复 2
    • FYY
      FYY
      2019-06-06

      这是我几天前抓包得到的连接,到现在仍然可以使用。这个时间跨度远大于getTempFileURL的24小时上限。

      2019-06-06
      回复
    • 永怀
      永怀
      2020-04-25回复FYY
      请问解决了吗?
      2020-04-25
      回复
  • i
    i
    2019-06-08

    怎么抓包?

    2019-06-08
    有用
    回复
登录 后发表内容