问题
公司邀请第三方进行网站漏洞扫描,发现nacos有安全漏洞;不登录也可以创建用户!!!
解决办法
nacos官网有鉴权的方案:
- nacos服务端开启鉴权,这一步可以防止不能录也能创建用户,但是在请求头添加:User-Agent:Nacos-Server 也可以进行配置文件查看,原因是1.4.1之前的版本默认使用上面的请求头作为认证字符串;
- nacos服务端配置自定义的key和value,替代:User-Agent:Nacos-Server;
具体配置
配置之后,通过接口则无法访问!
问题
NACOS_AUTH_ENABLE =true 在配置文件中没有找到对应的配置项,不清楚是怎么生效的!!!!!