Azure存储静态网站安全问题

时间:2019-01-10 10:25:18

标签: azure azure-storage

我正在Azure存储静态网站中工作。该网站是公开可用的,旨在针对Azure存储执行操作(管理多媒体-原始操作)。恐怕因为它是一个客户端应用程序,所以任何人都可以使用该代码对存储帐户执行意外的操作。有什么想法可以保护应用程序免受此攻击吗?我也在寻找一种解决方案,以避免硬编码的密钥/ SAS令牌对存储帐户具有操作权限。我正在考虑使用托管服务标识。因为它处于预览模式,有人有经验吗?

2 个答案:

答案 0 :(得分:2)

静态网站终结点严格是只读的。因此,客户将无法更改网站的内容。

当前静态网站是匿名访问。 “ add oauth”将很快添加。对于读取访问,启用该站点后,它将对所有公众开放。

当前,我们没有oauth支持。只要拥有uri,任何人都可以阅读网站的内容

答案 1 :(得分:2)

您绝对不应在客户端放置密钥或SAS令牌。如您所说,任何人都可以获取此权限并访问该存储帐户。一种解决方案是使用HTTP触发的无服务器功能来根据需要生成SAS令牌。然后,您可以仅对要公开访问的资源发布限时SAS。以下教程显示了如何执行此操作。

https://docs.microsoft.com/en-us/azure/functions/tutorial-static-website-serverless-api-with-database