问题描述
browser.js中设置回调参数
const options = {
callback: {
// 设置回调请求的服务器地址。url: ‘http://examplebucket.aliyuncs.com:23450’,
// 设置回调请求消息头中Host的值,即您的服务器配置的Host值。// host: ‘oss-cn-hangzhou.aliyuncs.com’,// 设置发起回调时请求body的值。body: “bucket=${bucket}&object=${object}&etag=${etag}&size=${size}&mimeType=${mimeType}&imageInfo.height=${imageInfo.height}&imageInfo.width=${imageInfo.width}&imageInfo.format=${imageInfo.format}&my_var=${x:my_var}”,
// 设置发起回调请求的Content-Type。// contentType: ‘application/x-www-form-urlencoded’,// 设置发起回调请求的自定义参数。customValue: {
var1: ‘value1’,
var2: ‘value2’
}
}
}
但是body中bucket和object的值可以变更,比如:body: “bucket=1&object=2&etag=3&size=4&mimeType=5&imageInfo.height=6&imageInfo.width=7&imageInfo.format=8&my_var=${x:my_var}”
按说系统参数,应该不能修改,这样会导致,黑客截获报文后,设置了自己的文件相关的信息,回调结果中,获取的不是本次真实上传到文件,而是黑客想要回调的文件信息。
期望结果
回调结果中,系统参数应该不能修改。
已尝试的方法
- body中不写bucket 和 object时,回调结果中没有bucket 和 object的值