设置防盗链
简介
为了避免恶意程序使用资源 URL 盗刷公网流量或使用恶意手法盗用资源,给用户带来不必要的损失。对象存储支持防盗链配置,建议您通过控制台的防盗链设置配置黑/白名单,来进行安全防护。
操作步骤
- 登录对象存储控制台。
- 在左侧导航栏中,选择 【存储桶列表】,进入存储桶列表页面。
- 单击需要设置防盗链的存储桶名称,进入存储桶的文件列表页面。
- 选择 【安全管理】>【防盗链设置】,单击 【编辑】,进入编辑状态。
- 修改 当前状态 为开启,选择名单类型(黑名单或白名单),设置好相应域名,设置完成后单击 【保存】 即可,配置项说明如下:
- 黑名单:限制名单内的域名 访问存储桶的默认访问地址,若名单内的域名访问存储桶的默认访问地址,则返回403。
- 白名单:限制名单外的域名 访问存储桶的默认访问地址,若名单外的域名访问存储桶的默认访问地址,则返回403。
- 空 referer:HTTP 请求中,header 为空 referer(即不带 referer 字段或 referer 字段为空)。
- Referer:支持设置最多10条域名且为相同前缀匹配,每条一行,多条请换行;支持域名、IP 和通配符
*等形式的地址。示例如下:- 配置
www.example.com:可限制如www.example.com/123、www.example.com.cn等以www.example.com为前缀的地址。 - 支持带端口的域名和 IP,例如
www.example.com:8080、10.10.10.10:8080等地址。 - 配置
*.example.com:可限制a.example.com/123、a.example.com等地址。
- 配置
示例
APPID 为 1250000000 的用户创建了一个名为 examplebucket-1250000000 的存储桶,并在根目录下放置了一张图片 picture.jpg, 根据规则生成了一个默认访问地址 :
examplebucket-1250000000.file.myqcloud.com/picture.jpg
用户 A 拥有网站:
并将该图片嵌入了首页 index.html 中。
此时站长 B 持有网站:
站长 B 想把这张图片放入 www.fake.com 中。由于不想付流量费用,他便直接通过以下地址引用了 picture.jpg,并放置到 www.fake.com 网站首页 index.html。
examplebucket-1250000000.file.myqcloud.com/picture.jpg
为了避免用户 A 的损失,针对以上状况,我们提供两种开启防盗链的方式。
开启方式一
配置 黑名单 模式,域名设置填入 *.fake.com 并保存生效。
开启方式二
配置 白名单 模式,域名设置填入 *.example.com 并保存生效。
开启前
访问 http://www.example.com/index.html 图片显示正常。 访问 http://www.fake.com/index.html 图片也显示正常。
开启后
访问 http://www.example.com/index.html 图片显示正常。 访问 http://www.fake.com/index.html 图片无法显示。