文章总结： 这篇文章介绍了2021年发现的云对象存储response-*参数漏洞的演变历程，该漏洞允许攻击者修改对象返回的header头，造成XSS攻击。文章详细描述了漏洞的三个阶段：匿名访问、临时密钥签名和CDN服务利用，以及各阶段的修复措施。作者提供了多项安全建议，包括限制content-type、控制权限、使用非敏感域等，并指出虽然部分修复，但response-*特性仍存在潜在风险。 综合评分： 89 文章分类： 漏洞分析,WEB安全,数据安全,应用安全,网络安全

如何进行服务端签名直传_对象存储(OSS)-阿里云帮助中心

这样解决了客户端的需求了，也保证了业务的安全，是不是再出问题了？

2.3、第三方服务CDN签名response-*

有时候oss这边没问题了，但是与其他产品使用，还是会出现问题。

比如在cdn上支持回源oss，并且支持私有对象的读取，这样又可以通过临时密钥给url签名了。

这里的修复方案是：禁止GET请求

https://help.aliyun.com/zh/oss/support/0017-00000902?spm=5176.smartservice_service_robot_chat_new.console-base_help.dexternal.4f6843ec43UcB6

但是并没有禁用response-*，而是仅仅禁用response-content-type，下面两个参数都可以被拿来恶意利用。

?response-content-type=text/html
?response-content-disposition=attachment; filename=test.exe

这里演示将一个pdf文件转成exe文件下载（response-content-type目前修复了，我没有截图），通过cdn特性，不需要我们自己签名，即可完成对response-content-type参数修改。

咨询阿里云过策略：response-content-type参数GET请求禁止，并未对所有的bucket禁用，之前使用过这个参数的bucket，还支持这个参数，对于之前没有使用过这个参数的目前不再支持使用这个参数GET请求使用。

所以还受这个问题影响的，可以咨询阿里云，让他们人工去掉白名单即可。

三、修复建议

这里给出一些云对象存储的注意：

1、上传的时候通过policy限制content-type，避免攻击者上传html、svg等文件造成xss。（注意：即使上传的时候指定了content-type也可以通过response-content-type修改返回类型）

2、控制好桶的读写权限以及列目录权限。

3、通过非业务域（非敏感域）使用cdn服务，通过不同域限制危害程度。

4、最后要参考云厂商给出的文档，避免编码时候造成参数拼接、挂载云对象存储使用sys_admin等等问题。

四、总结

文章中总结了云对象存储response-*参数攻与防的三次拉扯，是不是最终到这里结束了呢？

目前有一些业务有在使用response-*特性，云厂商也未完全干掉response-*特性，后面说不定云对象存储又出了新的特性或有其他产品特性搭配会有重复上演此类问题。

response-*漏洞：留着青山在，不怕没柴烧，云厂商！你给我等着

查看原文：《21年挖的对象存储漏洞到现在结束了吗？- 云安全》