我收到“超过配额” 此应用程序暂时超出其服务配额。请稍后再试。”在我的 GAE 应用程序上。它没有启用计费功能。我今天对其进行了安全扫描,这可能触发了超额配额,但我无法根据控制台中的信息解释原因。
请注意,1.59G 已用于响应 4578 个请求。每个请求平均大约 347k,但我的响应都不应该那么大。
通过过滤我的日志,我可以看到今天没有响应大小大于 25k 的请求。因此,尽管安全扫描在其 14 分钟的运行中产生了许多小请求,但它不可能占 1.59G。谁能解释一下?
【问题讨论】:
注意:主要是假设...
Impact of Security Scanner on logs 部分提到:
一些扫描痕迹将出现在您的日志文件中。例如, 安全扫描器生成对不太可能的字符串的请求,例如 "~sfi9876" 和 "/sfi9876" 以检查您的应用程序的错误 页面;这些故意无效的页面请求将显示在您的 日志。
我的解释是,一些扫描请求将不会出现在应用的日志中。
我猜某些扫描仪的请求同样不计入应用的请求统计中并非不可能,这可能解释了您报告的可疑计算结果。我在文档中没有看到任何关于验证或无效这一理论的提及。不过……
在Pricing, costs, and traffic 部分我看到:
目前,大型扫描在 100,000 个测试请求后停止,而不是 包括与网站抓取相关的请求。 (网站爬取请求 没有上限。)
来自Google Cloud Security Scanner doc 的其他几句话:
Google Cloud 安全扫描程序可识别安全漏洞 在您的 Google App Engine 网络应用程序中。它爬上你的 应用程序,按照您开始范围内的所有链接 URL,并尝试使用尽可能多的用户输入和事件处理程序 尽可能。
因为扫描仪会填充字段、按下按钮、点击链接、 等等,应谨慎使用。扫描仪可以 可能会激活更改数据状态的功能或 系统,结果不理想。例如:
- 在允许公共 cmets 的博客应用程序中,扫描程序可能会将测试字符串作为 cmets 发布在您的所有博客文章中。
- 在电子邮件注册页面中,扫描仪可能会生成大量测试电子邮件。
这些引用表明,根据您应用的结构和功能,请求的数量可能相当高。您的应用需要真正基本才能在 4578 个请求中实现所引用的活动类型 - 有点支持上述理论,即某些扫描仪请求可能不计入应用的统计信息。
【讨论】: