📌 最致命的æ¼æ´žï¼Œæ¥è‡ªæœ€ä½Žçº§çš„错误ã€è®©ç¼–程å†æ¬¡ä¼Ÿå¤§#35】 - YouTube
Original URL: https://youtu.be/z_okAyOM_m8
📌 最致命的æ¼æ´žï¼Œæ¥è‡ªæœ€ä½Žçº§çš„错误ã€è®©ç¼–程å†æ¬¡ä¼Ÿå¤§#35】 - YouTube
⓵ ã€å®¹æ˜“懂 Easy Know】:想åƒä½ 家門å£æœ‰å€‹è¦è¡›ï¼ˆä¸é–“件),他會檢查æ¯å€‹è¦é€²ä¾†çš„人(請求)的身分è‰ï¼ˆHeader),確èªæ˜¯ä¸æ˜¯å£žäººï¼ˆæœªæŽˆæ¬Šè«‹æ±‚)。有個笨蛋工程師在è¦è¡›å®¤æ—邊開了個後門,還貼了張紙æ¢èªªï¼šã€Œæœ‰é€™å¼µç´™æ¢çš„人就ä¸ç”¨æª¢æŸ¥èº«åˆ†è‰ï¼ã€ï¼ˆç‰¹æ®ŠHeader)。çµæžœå£žäººæ’¿åˆ°é€™å¼µç´™æ¢ï¼Œå¤§æ–å¤§æ“ºåœ°èµ°é€²ä½ å®¶å·æ±è¥¿ã€‚後來工程師發ç¾äº†ï¼Œä¸æ˜¯æŠŠå¾Œé–€é—œæŽ‰ï¼Œè€Œæ˜¯æ›äº†ä¸€å¼µæ›´è¤‡é›œçš„ç´™æ¢ï¼Œä½†å…¶å¯¦é‚„是有æ¼æ´žã€‚最後,工程師乾脆把紙æ¢æ’•æŽ‰ï¼Œå¾Œé–€ä¹Ÿé—œäº†ï¼Œå«ä½ 自己想辦法。這故事告訴我們,ä¸è¦ç›¸ä¿¡å…費的æ±è¥¿ï¼ŒèƒŒå¾Œå¯èƒ½è—著陷阱喔ï¼
---
⓶ ã€ç¸½çµ Overall Summary】:影片講述了知åå‰ç«¯æ¡†æž¶ NestJS 在 2025 年爆發的一個嚴é‡å®‰å…¨æ¼æ´žäº‹ä»¶ã€‚該æ¼æ´žæºæ–¼ Vercel å…¬å¸ç‚ºäº†çµ¦è‡ªå®¶é›²æœå‹™æ‰“é€ ã€Œè·åŸŽæ²³ã€è€Œè¨è¨ˆçš„特殊架構,具體來說,NestJS çš„ä¸é–“件會在 Vercel çš„ CDN 上執行,為了é¿å…é‡å®šå‘時陷入æ»å¾ªç’°ï¼ŒVercel 的工程師è¨è¨ˆäº†ä¸€å€‹é€šéŽæª¢æŸ¥ HTTP Header 來繞éŽä¸é–“件的機制。然而,這個機制å˜åœ¨åš´é‡çš„安全æ¼æ´žï¼Œå› 為任何人都å¯ä»¥å½é€ 這個 Header,從而繞éŽèº«ä»½é©—è‰ã€DDoS 防禦ç‰å®‰å…¨æŽªæ–½ï¼Œé€²è¡Œå„種攻擊。
更令人匪夷所æ€çš„是,Vercel 在收到æ¼æ´žå ±å‘Šå¾Œï¼ŒèŠ±äº† 17 天æ‰æŽ¨å‡ºç¬¬ä¸€å€‹è£œä¸ï¼Œè€Œé€™å€‹è£œä¸åªæ˜¯ç°¡å–®åœ°æ·»åŠ 了一個新的ã€éš¨æ©Ÿç”Ÿæˆçš„ Header,試圖驗è‰è«‹æ±‚的來æºã€‚這個補ä¸ä¸åƒ…效率低下,還å¯èƒ½å› 為 CDN 的分布å¼ç‰¹æ€§è€Œå¤±æ•ˆï¼Œç”šè‡³å¼•å…¥æ–°çš„å•é¡Œã€‚最終,Vercel é¸æ“‡ç›´æŽ¥åˆªé™¤æ•´å€‹ Header 繞éŽæ©Ÿåˆ¶ï¼Œæ”¾æ£„解決æ»å¾ªç’°å•é¡Œï¼Œè®“開發者自行處ç†ã€‚
影片將這個事件與åå¤šå¹´å‰ Joyent å…¬å¸æŽ§åˆ¶ Node.js 的事件相æ並論,指出 Vercel 也在試圖通éŽæŽ§åˆ¶ NestJS å’Œ React ç‰é–‹æºé …目,為自家的雲æœå‹™å¼•æµã€‚影片最後æ醒觀眾,天下沒有å…費的åˆé¤ï¼Œåœ¨ä½¿ç”¨é€™äº›é–‹æºå·¥å…·æ™‚,也è¦è¦æƒ•èƒŒå¾Œå¯èƒ½å˜åœ¨çš„商æ¥é™·é˜±ã€‚
---
â“· ã€è§€é»ž Viewpoints】:
* NestJS æ¼æ´žçš„æ ¹æºåœ¨æ–¼ Vercel 為了給自家雲æœå‹™æ‰“é€ è·åŸŽæ²³ï¼Œè€Œè¨è¨ˆçš„特殊架構,導致安全æ¼æ´žã€‚
* é€šéŽ HTTP Header 繞éŽä¸é–“件的機制,å˜åœ¨åš´é‡çš„å®‰å…¨é¢¨éšªï¼Œå› ç‚º Header å¯ä»¥è¢«ä»»ä½•äººå½é€ 。
* Vercel å°æ¼æ´žçš„修復方案ä¸å¤ å°ˆæ¥ï¼Œä¸åƒ…效率低下,還å¯èƒ½å¼•å…¥æ–°çš„å•é¡Œã€‚
* Vercel æ£åœ¨è©¦åœ–通éŽæŽ§åˆ¶ NestJS å’Œ React ç‰é–‹æºé …目,為自家的雲æœå‹™å¼•æµã€‚
* 開發者在使用開æºå·¥å…·æ™‚,需è¦è¦æƒ•èƒŒå¾Œå¯èƒ½å˜åœ¨çš„商æ¥é™·é˜±ã€‚
---
⓸ ã€æ‘˜è¦ Abstract】:
✅ NestJS 爆發嚴é‡å®‰å…¨æ¼æ´žï¼ŒCVSS è©•åˆ†é«˜é” 9.1。
âš ï¸ æ¼æ´žæºæ–¼ Vercel 為雲æœå‹™è¨è¨ˆçš„特殊架構,å…è¨±é€šéŽ Header 繞éŽä¸é–“件。
📌 任何人都å¯ä»¥å½é€ Header,繞éŽèº«ä»½é©—è‰å’Œå®‰å…¨é˜²è·ã€‚
🤯 Vercel 的補ä¸æ–¹æ¡ˆä¸å¤ å°ˆæ¥ï¼Œç”šè‡³å¼•å…¥æ–°å•é¡Œã€‚
ðŸ—‘ï¸ æœ€çµ‚ Vercel 直接刪除 Header 繞éŽæ©Ÿåˆ¶ï¼Œè®“開發者自行處ç†æ»å¾ªç’°å•é¡Œã€‚
🔄 Vercel 試圖通éŽæŽ§åˆ¶é–‹æºé …目,為自家雲æœå‹™å¼•æµã€‚
🧠使用開æºå·¥å…·éœ€è¦æƒ•èƒŒå¾Œçš„商æ¥é™·é˜±ã€‚
---
⓹ ã€FAQ 測驗】:
1. NestJS æ¼æ´žçš„主è¦åŽŸå› 是?
A) ç·¨è¯å™¨éŒ¯èª¤ B) é–‹æºå”è°ä¸å®Œå–„ C) Vercel 為雲æœå‹™è¨è¨ˆçš„特殊架構 D) é§å®¢æ”»æ“Š
ç”案:C) Vercel 為雲æœå‹™è¨è¨ˆçš„特殊架構 (該架構為了é¿å…æ»å¾ªç’°å¼•å…¥äº†å¯è¢«å½é€ çš„ Header 機制)
2. Vercel å°æ–¼æ¼æ´žçš„第一個修復方案是什麼?
A) 直接關閉有å•é¡Œçš„ä¸é–“件 B) æ·»åŠ é©—è‰è«‹æ±‚來æºçš„隨機 Header C) è¦æ±‚用戶å‡ç´šä¼ºæœå™¨ D) 懸賞徵求更好的解決方案
ç”案:B) æ·»åŠ é©—è‰è«‹æ±‚來æºçš„隨機 Header (但這個方案å˜åœ¨æ•ˆçŽ‡å’Œå¯é 性的å•é¡Œ)
3. 影片將 Vercel 控制開æºé …目的行為,與哪個公å¸æŽ§åˆ¶ Node.js 的事件相æ並論?
A) Google B) Microsoft C) Joyent D) Facebook
ç”案:C) Joyent (Joyent 也是通éŽæŽ§åˆ¶é–‹æºé …目為自家雲æœå‹™å¼•æµ)
✡ Oliå°æ¿ƒç¸® Summary bot 為您濃縮é‡é»ž ✡
â–¶ https://youtu.be/z_okAyOM_m8
