说明:MinIO是文件资源服务器,相当于免费的OSS,安装参考:Minio使用及整合起步依赖;
如果你的桶(Bucket)权限设置的是“Private”,那么可能会有数据泄露的风险。像别有用心的用户,可以通过抓包,获取到Minio服务器的地址和桶名;
(如下,simple桶下有这两个文件)
假如项目中,我们给用户提供了"文本文件.txt",那么服务器肯定会把下面这个URL响应给前端,包括了MinIO服务器的地址和该文件所在的Bucket名,最后是文件名
;
现在如果这个地址被人通过抓包工具,抓包得到,那么就可以通过去掉文件名,直接获取到该Bucket下的所有文件清单,如下,可以看到该Bucket下的另一个文件(这是一个word文件.docx),这就有文件泄露的风险。
解决这个问题,可以通过修改Bucket配置,将Access Policy
设置为Custom
,并且去掉下面Write Policy
中的这行配置;
去掉,保存;
重试,直接输入Bucket名就不行;
以上MinIO服务器部署在云服务上的CentOS系统上,MinIO为容器启动,版本为laster;