2025年10月06日·1 分钟
大规模安全文件上传:签名 URL 与校验
通过签名 URL、严格的类型与大小校验、异步恶意软件扫描和权限规则,在流量增长时依然保持快速的安全文件上传。
通过签名 URL、严格的类型与大小校验、异步恶意软件扫描和权限规则,在流量增长时依然保持快速的安全文件上传。
文件上传看起来很简单,直到真正的用户来了。一个人上传头像。然后一万个人同时上传 PDF、视频和表格。应用突然变慢,存储费用上升,支持工单堆积。
常见的失败模式是可预测的。当你的服务器试图处理全部字节而不是让对象存储承担主要负载时,上传页面会卡住或超时。权限漂移会发生,有人猜到文件 URL 就能看到不该看的东西。“无害”的文件可能携带恶意软件,或用复杂格式导致下游工具崩溃。日志不完整,使你无法回答“谁在什么时候上传了什么”这类基本问题。
你想要的其实很平凡:快速的上传、清晰的规则(允许的类型和大小)以及让事故易于调查的审计轨迹。
最难的权衡是速度与安全。如果在用户完成上传前运行所有检查,他们会等待并重试,从而增加负载。如果把检查推得太晚,则不安全或未授权的文件可能在被发现前扩散。一个实用做法是把上传与检查分开,并使每个步骤快速且可衡量。
还要明确“规模”的含义:把你的数字写下来——每天的文件数、峰值每分钟上传数、最大文件大小以及用户分布地区。地域影响延迟和隐私法规。
如果你在像 Koder.ai 这样的平台上构建应用,尽早决定这些限制很有帮助,因为它们会影响你如何设计权限、存储和后台扫描工作流。
在挑选工具之前,明确可能出错的点。威胁模型不需要很长,它只是一份关于你必须阻止什么、可以稍后检测什么以及愿意接受哪些权衡的简短共识。
攻击者通常会在几处可预测的点尝试渗透:客户端(篡改元数据或伪造 MIME 类型)、网络边界(重放和滥用速率限制)、存储(猜测对象名、覆盖)以及下载/预览(触发风险渲染或通过共享访问窃取文件)。
然后,把威胁映射到简单的控制措施:
超大文件是最容易滥用的点。它们会推高费用并拖慢真实用户。用硬性字节上限并快速拒绝它们来阻止这种情况。
伪造文件类型紧随其后。一个名为 invoice.pdf 的文件可能不是 PDF。不要信任扩展名或 UI 检查。上传后根据真实字节进行验证。
恶意软件是另一类问题。通常在上传完成前扫描所有东西会让体验变差。常见模式是异步检测,将可疑项隔离,直到扫描通过前阻止访问。
未授权访问往往破坏最大。把每次上传和每次下载都当作一次权限决策。用户应该只能上传到他们拥有或被允许写入的位置,并且只能下载他们有权查看的文件。
对许多应用而言,稳妥的 v1 策略是:
处理上传最快的方法是把应用服务器从“字节搬运”中剔除。不要把每个文件都通过后端转发,让客户端使用短期签名 URL 直接上传到对象存储。后端专注于决策和记录,而不是推动 GB 级的数据流。
分工很简单:后端回答“谁可以上传什么、到哪里”,存储接收文件数据。这能去掉一个常见瓶颈:应用服务器既做鉴权又代理文件,在负载下耗尽 CPU、内存或网络。
在数据库(例如 PostgreSQL)里保留一条小的上传记录,这样每个文件都有清晰的所有者和生命周期。在上传开始前创建这条记录,然后随事件更新它。
通常有价值的字段包括所有者和租户/工作区标识、存储对象键、状态、申报的大小和 MIME 类型,以及你可以验证的校验和。
把上传当作状态机处理,这样在重试发生时权限检查仍然正确。
一组实用状态是:
仅在后端创建了 requested 记录后才允许客户端使用签名 URL。存储确认上传后,将其移到 uploaded,触发后台恶意软件扫描,并且只有在 approved 后才对外暴露文件。
从用户点击上传开始。你的应用调用后端发起上传,带上基本信息如文件名、文件大小和预期用途(头像、发票、附件)。后端检查针对该目标的权限,创建上传记录并返回一个短期签名 URL。
签名 URL 应该权限最小化。理想情况下它只允许对一个精确对象键进行一次上传、短期过期,并带有明确条件(大小限制、允许的内容类型、可选校验和)。
浏览器使用该 URL 直接向存储上传。完成后浏览器再次调用后端进行 finalize(完成确认)。在 finalize 时再次检查权限(用户权限可能已被收回),并验证实际落地的存储内容:大小、检测到的内容类型及校验和(如果使用)。使 finalize 幂等,以便重试不会产生重复。
然后将记录标记为 uploaded 并在后台触发扫描(队列/任务)。UI 可以在扫描时显示“处理中”。
只信任扩展名会导致 invoice.pdf.exe 跑进你的桶里。把校验当作可复现的一组检查,在多个地方执行。
从大小限制开始。在签名 URL 策略(或预签名 POST 条件)中写入最大大小,这样存储端可以早期拒绝超大上传。在后端记录元数据时再次强制同样的限制,因为客户端仍可能试图绕过 UI。
类型检查应基于内容而非文件名。检查文件的前几个字节(magic bytes)以确认它符合预期。真正的 PDF 以 %PDF 开头,PNG 文件以固定签名开始。如果内容与允许列表不符,即使扩展名看起来没问题也要拒绝。
为每个功能保持特定的允许列表。头像上传可能只允许 JPEG 和 PNG;文档功能可能允许 PDF 和 DOCX。这样能降低风险并让规则更易解释。
不要把原始文件名当作存储键。把它规范化用于展示(移除异常字符、截短),但存储时用你自己的安全对象键,例如 UUID 加上类型检测后分配的扩展名。
在数据库中存储校验和(如 SHA-256),并在后续处理或扫描时进行比较。这有助于发现损坏、部分上传或篡改,尤其在负载下重试时很有用。
恶意软件扫描很重要,但不应放在关键路径上。快速接受上传,然后把文件设为阻塞状态,直到扫描通过。
创建一个状态如 pending_scan 的上传记录。UI 可以展示该文件,但不应可用。
扫描通常由对象创建事件触发、在对象创建后发布作业到队列,或两者并用(队列 + 存储事件作为兜底)。
扫描工作器下载或流式读取对象,运行扫描器,然后将结果写回数据库。保留必要信息:扫描状态、扫描器版本、时间戳以及是谁发起的上传。这条审计线索让支持在有人问“为什么我的文件被阻止?”时更容易解释。
不要把失败文件和干净文件混在一起。选定一个策略并一致执行:隔离并移除访问,或在不需要调查样本时删除。
无论选择哪种,给用户的信息要冷静且具体。告诉他们发生了什么以及下一步怎么做(重新上传、联系支持)。若短时间内大量失败,要告警你的团队。
最重要的是为下载与预览设置严格规则:只有标记为 approved 的文件才允许被服务。其他状态应返回类似“文件仍在检查中”的安全响应。
快速上传很好,但如果错误的人能把文件附到错误的工作区,你就有比慢请求更严重的问题。最简单也是最强的规则是:每条文件记录只属于一个租户(工作区/组织/项目),并有明确的所有者或创建者。
做两次权限检查:签发签名上传 URL 时一次,用户尝试下载或查看文件时再一次。第一次检查阻止未授权上传。第二次检查在 URL 泄露、访问被撤销或用户角色变动后保护你。
最小权限让安全和性能都更可预测。不要只用一个笼统的“files”权限,而是拆分为“可上传”、“可查看”和“可管理(删除/共享)”等角色。很多请求就能成为快速查表操作(用户、租户、动作)而不是昂贵的自定义逻辑。
为防止 ID 猜测,避免在 URL 和 API 中使用顺序文件 ID。使用不透明标识符并保持存储键不可猜测。签名 URL 是传输手段,不是你的权限系统。
共享文件常常让系统变慢且混乱。把共享当成显式的数据,而不是隐式访问。一个简单做法是用单独的共享记录把权限授予某个用户或组,并可选择设置过期时间。
谈到扩展安全上传时,很多人只关注安全检查而忘了基本:搬动字节是最慢的部分。目标是把大文件流量保持在应用服务器之外,限制重试,并避免把安全检查变成无上限的队列。
对于大文件,使用分段或分片上传,这样不稳定的连接不会让用户从零开始重传。分片还能帮你强制更清晰的限制:最大总大小、最大分片大小和最大上传时长。
为客户端设置有目的的超时和重试。少量重试能救回真实用户;无限重试会推高成本,尤其在移动网络上。目标是短的每分片超时、较小的重试上限和整个上传的硬截止时间。
签名 URL 让大数据路径快速,但创建它的请求仍是热点。保护好这一步以保持响应性:
延迟还与地域有关。尽量把应用、存储和扫描工作器放在同一区域。如果出于合规需要必须按国家托管,提前规划路由以避免上传跨洲跳转。在 AWS 全球运行的平台(例如 Koder.ai)可以在用户附近放置工作负载以满足数据驻留需求。
最后,别只规划上传,也要规划下载。用签名下载 URL 提供文件,并根据文件类型和隐私等级设置缓存规则。公共资源可以更长时间缓存;私人收据应保持短期并经过权限校验。
想象一个小型企业应用,员工上传发票和收据照片,经理审批以报销。这里上传设计不再学术:你有很多用户、大尺寸图片和真实的金钱流动。
一个良好的流程使用清晰的状态让每个人知道发生了什么并能自动化繁琐环节:文件落在对象存储并在数据库保存一条关联到用户/工作区/费用的记录;后台任务扫描文件并提取基本元数据(如真实 MIME 类型);然后该项要么被批准并在报表中可用,要么被拒绝并阻止使用。
用户需要快速、明确的反馈。如果文件太大,显示限制和当前大小(例如:“文件 18 MB,最大 10 MB。”)。如果类型不对,说明允许的类型(“请上传 PDF、JPG 或 PNG”)。如果扫描失败,保持语气冷静并给出可操作建议(“该文件可能不安全,请上传新副本。”)。
支持团队需要不打开文件也能排查问题的轨迹:上传 ID、用户 ID、工作区 ID、created/uploaded/scan started/scan finished 的时间戳、结果代码(过大、类型不匹配、扫描失败、权限拒绝)、存储键和校验和。
重传和替换很常见。把它们当作新的上传,作为同一费用的新版保存历史(谁何时替换),并仅标记最新版本为活动。如果你在 Koder.ai 上构建,这清晰地映射到 uploads 表加上带版本字段的 expense_attachments 表。
大多数上传漏洞并不是复杂的攻击,而是随着流量增长逐渐显现的小捷径。
更多检查不必让上传变慢。把快速路径与重负载路径分离开来。
同步做快速检查(鉴权、大小、允许类型、速率限制),然后把扫描和更深的检测交给后台工作器。用户可以在文件从“uploaded”到“ready”之间继续工作。如果你用基于聊天的构建器如 Koder.ai 开发,保持相同思路:让上传端点小且严格,把扫描和后处理放在任务中。
在上线上传功能前,定义什么是“对 v1 足够安全”。团队常因把严格规则(阻断真实用户)和缺失规则(邀请滥用)混在一起而陷入麻烦。先小而精,但确保每次上传都有从“接收”到“允许下载”的明确路径。
上线前的紧凑清单:
如果要一套最小可行策略:保持简单——大小限制、严格类型允许列表、签名 URL 上传与“隔离直到扫描通过”。在核心路径稳定后再加入更好用的功能(预览、更多类型、后台重处理)。
监控能防止“快”在增长中变成“莫名其妙地慢”。跟踪上传失败率(客户端 vs 服务端/存储)、扫描失败率与扫描延迟、按文件大小段划分的平均上传时间、下载授权拒绝,以及存储出流量模式。
用真实的文件大小和真实网络(移动网络与办公室 Wi‑Fi 行为不同)做小规模压测。上线前修复超时和重试。
如果你在 Koder.ai(koder.ai)上实现,Planning Mode 是先映射上传状态和端点的实用位置,然后围绕该流程生成后端与 UI。快照和回滚在你调整限制或修改扫描规则时也很有帮助。
使用直连对象存储的上传和短期签名 URL,避免应用服务器转发文件字节。把后端的职责放在授权决策和记录上传状态上,而不是搬运 GB 级的数据。
需要双重校验:一次是在创建上传并签发签名 URL 时,一次是在完成上传和提供下载时。签名 URL 只是传输手段;你的应用仍需基于文件记录和租户/工作区做权限判断。
把上传当成状态机处理以防止重试或部分失败造成安全漏洞。常见流程是 requested、uploaded、scanned、approved、rejected,只有状态为 approved 时才允许下载。
在签名 URL 策略(或预签名 POST 条件)中设置硬字节上限,让存储端尽早拒绝超大文件。完成时再用存储报告的元数据在后端重复校验,以防客户端绕过限制。
不要信任文件名扩展或浏览器 MIME 类型。上传后根据文件实际字节检测类型(比如检查魔数/magic bytes),并与针对特定功能的严格允许列表比对。
不要把扫描放在用户等待的关键路径上。快速接受上传并隔离,后台异步扫描,只有在记录显示扫描通过后才允许下载或预览。
选择一致的策略:将失败文件隔离并移除访问,或在不需要调查样本时直接删除。向用户给出冷静且可操作的提示,并保留审计数据以便支持团队解释发生了什么,而无需打开文件。
不要把用户提供的文件名或路径作为存储键。生成不可猜测的对象键(例如 UUID),将原始文件名作为展示元数据并做规范化处理。
使用分段或分片上传,这样不稳定的连接不会让用户从头开始。限制重试次数,设置合理的超时时间,并为整个上传设定硬截止时间,避免单个客户端长时间占用资源。
日志至少应包含上传 ID、所属用户、租户/工作区、对象键、状态、时间戳、检测到的类型、大小以及可选的校验和(如你使用)。如果在 Koder.ai 上构建,这很容易映射到 Go 后端、PostgreSQL 的 uploads 表和后台扫描任务。