现有的业务完全使用了前端Angular.JS的单页应用,所有请求均通过ajax发出。
现在我想实现在客户端直接向又拍云上传文件,尝试了angular file upload,但是提交的结果是
400: not accept, miss signature
抓包得知,policy和signature的表单数据根本没有提交。
我是这样写的:
$scope.onFileSelect = function ($files) { var file = $files[0]; //这里我只传单个文件 $scope.upload = $upload.upload({ url: 'http://v0.api.upyun.com/youguess', method: 'POST', headers: {'Content-Type': 'multipart/form-data'}, data: { signature: 'youguess', policy: 'youguess' }, fileFormDataName: 'file', file: file, formDataAppender: function (formData, key, value) { if (angular.isArray(value)) { angular.forEach(value, function(v) { formData.append(key, v); }); } else { formData.append(key, value); } } }).progress(function (event) { console.log(parseInt(100.0 * event.loaded / event.total)); }).success(function (data, status, headers, config) { console.log(data); }); };
我参考了这个github项目的这个和这个issues
what should I do?
我同时还有两个疑问:
この問題を参照しました
署名のセキュリティ問題が解決されていれば、ファイルは正常にアップロードできます。ありがとうございます。
解決策:
こんにちは、まず次の 2 つの質問に答えさせてください:
signature の署名には
form_api_secret
が含まれているため、フロントエンドに直接記述すると確かにセキュリティ上の問題が発生します。他の人がform_api_secret
を取得した場合、自分自身でそれを記述することができます。フォームはファイルをスペースに送信し、トラフィックを使用します。form_api_secret
的,所以若在前端直接写时,确实会存在安全问题:其他人拿到你的form_api_secret
,就可以自己编写表单把文件提交到你的空间,并使用你的流量了。policy 能使用 base64 在前端生成。虽然 policy 是 encode 参数内容,不存在安全问题,但因为
$signature = md5($policy.'&'.$form_api_secret);
$signature = md5($policy.'&'.$form_api_secret);
であるため、前述のセキュリティ上の問題が依然として残ります。その上。 コードの質問に関しては、@PenaFong が回答するよう招待されています。署名は必要に応じてバックエンドにリクエストすることで生成され、form_api_secret
はフロントエンドで計算されるときに公開されます。http://stackoverflow.com/questions/24443246/angularjs-how-to-upload-multipart-form-data-and-a-file
http://uncorkedstudios.com/blog/multipartformdata-file-upload-with -angularjs