oss get哀求访问时携带response-content-type=text/html存在的安全风险 ...

使用OSS做文件存储时，可以通过response-content-type指定返回头中的content-type，这存在一定风险。
假设哀求时设置了response-content-type=text/html，浏览器则会将返回内容当作HTML解析，若实际返回的内容不是HTML，浏览器会错误地将返回的数据作为HTML解析，从而可能导致跨站脚本攻击（XSS）等安全问题
问题

• 按照OSS规则，已知我们可以随意设置content-type。
  
• 若OSS设置为公共读，可以通过GET哀求直接访问，那阐明我们可以在哀求地址上增加response-content-type=text/html让浏览器将返回内容当html解析。
  
• 若恰好该系统的文件上传功能校验不完善，我们上传了一个伪装成图片格式的html（test.png)。
  
• 访问https://xxx.com/test.png?response-content-type=text/html就会打开我们上传的html页面。
  

若系统的安全控制比较单薄，恰好命中了以上几点，那确实是一个较大的风险，意味着别人可以借你的域名打开恣意自界说网页。
办理方案

• 修改访问规则，所有访问图片的哀求不答应带参数。
  
• 针对上传文件做强校验，拦截非指定格式的文件上传。
  
• OSS设置成私有读，所有资源均需要通过后台下载，但是会增加后台服务器压力
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。