这是一个创建于 44 天前的主题,其中的信息可能已经有所发展或是发生改变。
公司想给客户收到新邮件时候触发一个事件,允许客户配置个 Webhook ,把收到新邮件时符合关键词匹配规则的内容和标题之类发到客户自己设定的 URL 。
因为发送到的 URL 是客户自己设定的,可以预计到会发到电报,LINE 之类的机器人,所以需要海外服务器,想到用海外地域的云函数,但同时想到恶意客户可能会设置个敏感内容的 URL (比如宣传 X 的站点的 URL )。
公司的全部云服务都在腾讯云,之前也偶尔听说有 v 友因为内容涉敏感被封服务器的经历,因此我对 Webhook 这个需求有点怕怕。
请教 v 友:
假如云函数执行了一个 get/post 操作,访问了一个敏感的 URL 或者 query/body 带了敏感的内容,是否会导致云函数被封?甚至牵连到同账号的其他云服务被封?还有其他我没有想到的风险和注意事项求点醒。
谢谢。
14 条回复 • 2024-11-28 17:40:17 +08:00
 |
1
Moyyyyyyyyyyye 43 天前
内容加密就好了吧
|
 |
2
win7pro OP @Moyyyyyyyyyyye 谢谢。
哪个环节的加密?业务服务器请求到云函数的那一段可以加密,但云函数访问客户 URL 那段没法加密吧? |
 |
3
lisongeee 43 天前
你的意思是客户可以间接操作你的云函数访问任意 URL ?
那这个是无解的,只能访问这个 URL 的时候走自己的代理 |
|
4
win7pro OP @lisongeee 对,客户可以间接操作你的云函数单向访问任意 URL ,而我担心的就是腾讯云会不会因为云函数访问了敏感的 URL 导致云函数封禁或牵连同账户其他服务器。
其实可以想到,申请一个外网云服务商(比如 amz )的云函数应该就可以规避,但考虑到公司业务都用腾讯云,结算用回腾讯云方便,而且用腾讯云的云函数还能走内网访问云函数,会比较方便。 如果风险确实没法规避就可能用 amz 了。 |
|
5
Moyyyyyyyyyyye 43 天前
@win7pro #2 那你就危险了,直接访问一个诈骗网站,溯源到你的服务,就可以去喝茶了
|
|
6
win7pro OP @Moyyyyyyyyyyye 不开玩笑,是真危险么? webhook 是单向请求,不获取返回内容,也会危险是么?>_<
|
 |
7
virusdefender 43 天前
tencentcloud 之类的外区腾讯云重新注册一个账号和国内的账号隔离一下不知道可行不
|
 |
8
guanzhangzhang 43 天前
校验机制。。。
类似公众号那样,访问指定 url 路由必须返回固定内容或者返回根据参数计算后的结果,表明这个 url 是约定的 webhook 机制,客户设置 X 站点的网站也没用了 其他路由则是把数据发过去,不跟随 301 302 啥的,或者配置 301 302 白名单 |
|
9
win7pro OP @guanzhangzhang 谢谢,然而这样就不是完全自定义了。
|
|
10
win7pro OP @virusdefender 外区方案应该是可以的,只是公司想如果确认没风险尽量走回国内腾讯云,想内网访问+结算方便。
|
|
11
Moyyyyyyyyyyye 43 天前
@win7pro #6 如果内容是你发出去的,且内容是你定制的,不是客户定制的,其实就没有风险
|
 |
12
GPT6 38 天前
你用 cloudflare 建个 worker 不就没这些事了
|
 |
14
alfredhuang211 1 天前  1
国内区函数访问海外 URL 有风险;海外区访问海外 URL 没有风险;
这里的风险主要是访问链路上过了 gfw ,而不是在云函数;云函数内的操作内容不会被检测的; |
Select Language