nacos 出现严重安全漏洞，特殊 UA 可以绕过所有鉴权，有用了的小伙伴注意了……

只要指定一个特殊的 UA 就可以绕过所有鉴权。

官方不推荐这种用法，所以没有文档，建议大家别这么用。

LokiSharp

2021 年 1 月 14 日

这不是漏洞，这是自家的后门，是特性

mlhadoop

2021 年 1 月 14 日

oxromantic

2021 年 1 月 14 日

离谱到在指出这个问题时(在项目里 hardcode 一个不是强制修改且不可修改 token)，开发还依然自以为是否定安全风险，安全经验少得可怜

Finest

2021 年 1 月 14 日

6IbA2bj5ip3tK49j

2021 年 1 月 14 日

前面那个 KomachiSion 简直离谱。

MeteorCat

2021 年 1 月 14 日

直到出事了才知道肯承认是漏洞，真有你的

xiangyuecn

2021 年 1 月 14 日

@xgfan #11 是不是也是看了想打人😂

vone

2021 年 1 月 14 日

KomachiSion 是阿里的人吗，嘴硬的离谱 /doge 。

lewis89

2021 年 1 月 14 日

0202 年了还有人用阿里的开源？谁用谁 SB

lewis89

2021 年 1 月 14 日

另外微服务只有傻逼才会开端口把中间件的端口暴露到公网上去

guisheng

2021 年 1 月 14 日

「本来就不是给用户用的而是自己内部使用的机制，在使用文档上说明不妥。用户不知道才是正确的。」

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.