Rin icon indicating copy to clipboard operation
Rin copied to clipboard
verified publisher icon openRin

[Bug] 缓存文件在公开存储桶中被所有人可见

Open panghaibin opened this issue 1 year ago • 3 comments

Bug 描述 缓存文件在公开存储桶中被所有人可见,里面包含了仅自己可见的文章信息

复现步骤

  1. 通过文章中的图片链接找到站点所用的存储桶域名
  2. 访问存储桶域名+/cache/cache.json

期望行为

截图

环境变量

panghaibin avatar Oct 07 '24 16:10 panghaibin

https://github.com/openRin/Rin/blob/6cea8609a39c4d21a8fea2f1ad23b61950d52acf/server/src/services/storage.ts#L46-L49

另外目前对上传文件的控制是只要为登录用户即可上传,不知是bug还是feature?应该要只允许管理员上传吧?

panghaibin avatar Oct 07 '24 16:10 panghaibin

https://github.com/openRin/Rin/blob/6cea8609a39c4d21a8fea2f1ad23b61950d52acf/server/src/services/storage.ts#L46-L49

另外目前对上传文件的控制是只要为登录用户即可上传,不知是bug还是feature?应该要只允许管理员上传吧?

最初有设计为允许其他用户回复时添加图片,但暂未实现,这里目前来看存在设计缺陷

OXeu avatar Oct 07 '24 17:10 OXeu

重新看了下文档,发现其实可以通过环境变量S3_CACHE_FOLDER自定义缓存的路径,所以应该可以通过自定义一个较长的随机路径,而不是默认的cache/路径避免缓存文件泄漏

panghaibin avatar Oct 08 '24 12:10 panghaibin