我意识到在使用默认设置创建存储桶后,任何知道存储桶名称的人都可以检查是否存在文件。
示例:
有人尝试了网址https://storage.googleapis.com/bucket_name/file_name
如果文件不存在,则显示的消息是“指定的密钥不存在”
如果文件确实存在,则消息为“匿名调用者没有storage.objects.get访问对象bucket_name / file_name”
这使得容易发现存储在存储桶中的文件名,因此,存储桶内容的隐私性不完整。
对于这两种情况,我也使用S3存储,其中消息是“拒绝访问”,因此无法知道文件是否真的存在。
有没有办法禁用此行为?
由于
答案 0 :(得分:0)
很抱歉,但目前没有办法获得拒绝访问权限#34;对于这两种情况。
请注意,即使确实存在,也不一定会阻止定时攻击确定对象是否存在。因此,建议您不要将敏感数据存储在对象名称中,并且如果确定对象名称存在会对您的业务造成风险,则会对其进行模糊处理。