我从来没做过网站开发，最近在看 s3 的文档的时候，发现可以直接在上头 host 静态网站，同时可以用 policy 限制访问白名单，于是有了一个构建照片/视频网站的偷懒的想法。

s3 的结构大致是这样的：

.../my-static-website/webpage/ -> 这里存储的是网页的 html 和脚本（我也没做过网站开发，不知道需要多少脚本）

.../my-static-website/photo/ -> 这里存储的是所有照片和视频，底下还有多余的 yyyy-mm-dd 前缀，比如说.../my-static-website/photo/2025-06-01/photo1.jpg

用白名单策略来限制家人的访问，需要他们的公开 ip 。我感觉这里比较粗糙，因为他们的 ip 很可能经常变化，但是反正就那几个人，直接让他们访问一个给出访问者公网 ip 的网站，把结果告诉我，我手动修改策略就行了。具体如何自动化还没想好，我觉得如果做成手机 apk ，让 app 检测手机的公网 ip ，然后自动更新策略，也应该可行。

主页的内容大致是：

就是一张最简单的网页，上面罗列了每个 yyyy-mm-dd 前缀，点进去可以访问一个直接动态生成的、以 yyyy-mm-dd.html 为名字的网页，上面罗列了每个.../my-static-website/photo/yyyy-mm-dd/ 目录下面的图片和视频的缩略图（每一天应该不会超过 10 个物体），再点就可以直接在浏览器中打开图片和视频。

yyyy-mm-dd 的列表应该可以从 s3 里的前缀中获取，至于如何自动生成网页，我从来没开发过网页，但是想来应该不会太难，可能要写点 javascript 。

主页上还有一个“上传”按钮，访问者可以点击然后上传文件，直接自动存储到以当天为前缀的 s3 文件里，比如说 2025-06-01 上传，那么直接就进到.../my-static-website/photo/2025-06-01/ 下面。这个估计要修改策略，目前还不知道行不行，得看看文档。“上传”本身肯定也是需要一个脚本的，到时候查查看怎么写。

整个“产品”就是这样了。使用者不会超过 10 人，他们对界面也无所谓，最重要的是能看到儿子照片和视频。大家觉得可行性如何？安全性的话，如果白名单策略有效的话，还会有什么漏洞吗？

多谢！

我从来没做过网站开发，最近在看 s3 的文档的时候，发现可以直接在上头 host 静态网站，同时可以用 policy 限制访问白名单，于是有了一个构建照片/视频网站的偷懒的想法。

s3 的结构大致是这样的：

.../my-static-website/webpage/ -> 这里存储的是网页的 html 和脚本（我也没做过网站开发，不知道需要多少脚本）

.../my-static-website/photo/ -> 这里存储的是所有照片和视频，底下还有多余的 yyyy-mm-dd 前缀，比如说.../my-static-website/photo/2025-06-01/photo1.jpg

用白名单策略来限制家人的访问，需要他们的公开 ip 。我感觉这里比较粗糙，因为他们的 ip 很可能经常变化，但是反正就那几个人，直接让他们访问一个给出访问者公网 ip 的网站，把结果告诉我，我手动修改策略就行了。具体如何自动化还没想好，我觉得如果做成手机 apk ，让 app 检测手机的公网 ip ，然后自动更新策略，也应该可行。

主页的内容大致是：

就是一张最简单的网页，上面罗列了每个 yyyy-mm-dd 前缀，点进去可以访问一个直接动态生成的、以 yyyy-mm-dd.html 为名字的网页，上面罗列了每个.../my-static-website/photo/yyyy-mm-dd/ 目录下面的图片和视频的缩略图（每一天应该不会超过 10 个物体），再点就可以直接在浏览器中打开图片和视频。

yyyy-mm-dd 的列表应该可以从 s3 里的前缀中获取，至于如何自动生成网页，我从来没开发过网页，但是想来应该不会太难，可能要写点 javascript 。

主页上还有一个“上传”按钮，访问者可以点击然后上传文件，直接自动存储到以当天为前缀的 s3 文件里，比如说 2025-06-01 上传，那么直接就进到.../my-static-website/photo/2025-06-01/ 下面。这个估计要修改策略，目前还不知道行不行，得看看文档。“上传”本身肯定也是需要一个脚本的，到时候查查看怎么写。

整个“产品”就是这样了。使用者不会超过 10 人，他们对界面也无所谓，最重要的是能看到儿子照片和视频。大家觉得可行性如何？安全性的话，如果白名单策略有效的话，还会有什么漏洞吗？

多谢！