使用第三方服务时的安全性问题

现在,有许多网站提供一些功能作为服务供第三方网站使用,例如 CDN、视频点播/直播分发等等。

使用这些服务固然方便,但使用第三方服务意味着放弃了一些控制权,而这经常会导致一些问题。

例如很常见的情形:许多收费视频网站,抓取到视频源地址之后,无论在哪都可以随意下载了。这是因为 CDN 服务器没有做鉴权所导致的。

解决方案也简单,可以传递 Token 鉴权,或者在 CDN 验证 Cookies、验证 Referer 、设置有效期等等方法。固然,这种方法没法防止伪造请求,但也能阻挡一些不正流量。


随着前端复杂化,前后端分离变得常见。许多网站出现了仅前端验证,后端无验证的问题,在使用第三方服务时这种问题就更容易出现了。

AbemaTV 限制海外IP观看,但是否允许观看只是一个 SSR 出来的字段控制的,只要改掉这个值就可以绕过检查。


使用第三方服务还会丧失一部分控制权。第三方服务提供的日志是不完整的,并且查看起来总是不如自己服务器方便。如果遇到恶意行为,从发生到察觉的时间会比使用自己服务长是可以想象的。

许多人使用 CDN 服务时被恶意刷流量,而某些服务商滞后一天的日志对发现这种行为并做出反应毫无意义。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据