forms - 是否公开展示 x-amz-credential 或任何亚马逊的东西？

Question

在我的表格中，它显示了我的政策和 x-amz-credential、x-amz-algorithm、x-amz-signature、我的存储桶等...

data-form-data = "{"key":"/uploads/temporary/<some random numbers/letters>/${filename}",
                   "success_action_status":"201",
                   "acl":"public-read",
                   "Content-Type":"image/jpeg",
                   "policy":"<bunch of random numbers/letters",
                   "x-amz-credential":"<your-access-key-id>/<date>/<aws-region>/<aws-service>/aws4_request",
                   "x-amz-algorithm":"<some random numbers/lettering>",
                   "x-amz-date":"<some random numbers/letters>",
                   "x-amz-signature":"<some random numbers/letters>"}"
data-url="https://<bucket-name>.s3.amazonaws.com"
data-hose="<bucket-name>.s3.amazonaws.com

Answer 1

是的，没关系。它旨在不暴露敏感数据，而且这些数据并不敏感。

您的 AWS 访问 key secret 是唯一不可泄露的 secret 值。 (还有一个名为 签名 key 的敏感中间值，它是从 key 生成的，除非您编写自己的 V4 请求签名代码，否则您将看不到该值)。签名源自签名 key 和其他请求参数；签名 key 是特定于服务和区域的，并且源自 secret 并在您的代码中使用，然后被丢弃......并且这两个值都是在单向过程中生成的，这使得逆向工程在计算上不可行。