[英]GCP API Gateway - Hide project details in response message "quota exceeded"
當超過配置的配額時,API 網關會向客戶端響應詳細的 http 429 消息。 此消息包含有關 Google Cloud 項目的信息,例如使用的項目名稱、項目編號或 API 網關 URL。如果您在 API 網關前面使用負載均衡器,則 API 網關 URL 通常是隱藏的。
這是一個例子:
{
"message": "RESOURCE_EXHAUSTED:Quota exceeded for quota metric 'Read requests' and limit 'Read requests per minute' of service 'api-gw-xyz.apigateway.abc.cloud.goog' for consumer 'project_number:123456'.",
"code": 429
}
我可以省略此信息並只返回 http 429 代碼嗎? 還是我太偏執了?
項目編號不是秘密。 攻擊者無法利用這些信息做任何事情。 要使用項目編號或項目 ID,需要授權憑據。
如果沒有錯誤消息,可能很難確定超出了配額,而且當您在一個控制台中處理多個項目時,也很難確定哪個項目超出了配額。 正如@John Hanley 所說,項目編號不會有任何問題或攻擊,因為它需要每個項目的授權憑據。
正如您所說,只需返回 http 429 代碼,此錯誤代碼基本上表示用戶在給定時間內發送了太多請求(“速率限制”) 。 因此,很難理解導致 429 錯誤代碼的原因。
GCP API 網關返回 403 表示托管服務“未為項目啟用”
[英]GCP API gateway returning 403 saying managed service "is not enabled for the project"
超出 GCP 雲裝甲配額“SECURITY_POLICY_RULES”。 限制:免費層帳戶的 0.0 全局錯誤
[英]GCP Cloud armor Quota 'SECURITY_POLICY_RULES' exceeded. Limit: 0.0 globally error for Free tier account
api 網關的 GCP 負載平衡器 terraform 配方返回 404
[英]GCP Load balancer terraform recipe for api gateway returns 404
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.