视频里说直接访问企业版的附件预览需要带key参数

江苏院-吴昊 · 发表于 2018-3-8 14:51:04

jishuang 发表于 2018-3-6 10:50
dochost后面的那个url是直接请求的文档服务器

完整的url是通过url转调的方式走的 ...

既然是转调的，
那 http://外网ip/x5/.....?dochost=http://内网ip/docServer，应该也能访问吧。主要外网ip的服务器能访问到内网的那个文档服务器就行了

jishuang · 发表于 2018-3-8 17:08:32

不能，要bsessionid才可以

江苏院-吴昊 · 发表于 2018-3-9 09:45:44

jishuang 发表于 2018-3-8 17:08
不能，要bsessionid才可以

docServer 也需要bsessionid？

bsessionid不是在uiserver 或者 businessserver需要用的嘛

jishuang · 发表于 2018-3-9 10:14:44

11楼发的地址不就是通过UIServer访问的吗

江苏院-吴昊 · 发表于 2018-3-9 11:43:57

本帖最后由江苏院-吴昊于 2018-3-9 11:45 编辑

jishuang 发表于 2018-3-9 10:14
11楼发的地址不就是通过UIServer访问的吗

我知道啊，我知道到用生成的url的需要bsessionid，因为是经过UIServer的。

我想表达的是，即使配置 DocServer的地址不是外网的地址，配置的是内网的地址，只要UIserver 能访问到docServer，用户就能正常访问到文档，因为用户访问的文档是经过UIServer转发的。
http://外网ip/x5/.....?dochost=http://内网ip/docServer
重点是这个内网ip，即用户或者攻击者即使拿到dochost的地址，也不能随便访问docServer。但是如果把docServer配置为外网可访问，那就很危险了，攻击者直接修改fileID，不就可以遍历你的文档服务器了吗

jishuang · 发表于 2018-3-9 13:14:01

fileID的值是数据库的，如果攻击了那就是数据库也别攻击了，而且文档服务器上有文档认证的配置配置了这个认证会控制只有从这个BusinessServer发送的请求才会处理

江苏院-吴昊 · 发表于 2018-3-9 13:33:44

jishuang 发表于 2018-3-9 13:14
fileID的值是数据库的，如果攻击了那就是数据库也别攻击了，而且文档服务器上有文档认证的配置配置了这个认 ...

目前的fileID都是数字+docNameSpace
比如：
651-defaultDocNameSpace

我把数字改了，就可以轻松访问所有的文件。
直接用截取docHost的地址

jishuang · 发表于 2018-3-9 13:35:24

认证就是直接配置的在DocServer上的

江苏院-吴昊 · 发表于 2018-3-9 13:40:34

本帖最后由江苏院-吴昊于 2018-3-9 15:36 编辑

jishuang 发表于 2018-3-9 13:35
认证就是直接配置的在DocServer上的

哪里认证了，截取了dochost地址可以直接访问啊
最好的还是不要把docServer配置为外网可访问

江苏院-吴昊 · 发表于 2018-3-9 13:42:40

本帖最后由江苏院-吴昊于 2018-5-10 14:04 编辑

其实docServer配置为内网也是可以访问的

		自动登录	找回密码
密码			注册

[结贴] 视频里说直接访问企业版的附件预览需要带key参数