[英]GCP API Gateway - Hide project details in response message "quota exceeded"
当超过配置的配额时,API 网关会向客户端响应详细的 http 429 消息。 此消息包含有关 Google Cloud 项目的信息,例如使用的项目名称、项目编号或 API 网关 URL。如果您在 API 网关前面使用负载均衡器,则 API 网关 URL 通常是隐藏的。
这是一个例子:
{
"message": "RESOURCE_EXHAUSTED:Quota exceeded for quota metric 'Read requests' and limit 'Read requests per minute' of service 'api-gw-xyz.apigateway.abc.cloud.goog' for consumer 'project_number:123456'.",
"code": 429
}
我可以省略此信息并只返回 http 429 代码吗? 还是我太偏执了?
项目编号不是秘密。 攻击者无法利用这些信息做任何事情。 要使用项目编号或项目 ID,需要授权凭据。
如果没有错误消息,可能很难确定超出了配额,而且当您在一个控制台中处理多个项目时,也很难确定哪个项目超出了配额。 正如@John Hanley 所说,项目编号不会有任何问题或攻击,因为它需要每个项目的授权凭据。
正如您所说,只需返回 http 429 代码,此错误代码基本上表示用户在给定时间内发送了太多请求(“速率限制”) 。 因此,很难理解导致 429 错误代码的原因。
GCP API 网关返回 403 表示托管服务“未为项目启用”
[英]GCP API gateway returning 403 saying managed service "is not enabled for the project"
超出 GCP 云装甲配额“SECURITY_POLICY_RULES”。 限制:免费层帐户的 0.0 全局错误
[英]GCP Cloud armor Quota 'SECURITY_POLICY_RULES' exceeded. Limit: 0.0 globally error for Free tier account
api 网关的 GCP 负载平衡器 terraform 配方返回 404
[英]GCP Load balancer terraform recipe for api gateway returns 404
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.