tencent cloud

文档反馈

EdgeOne 防盗链实践教程

最后更新时间:2024-08-26 17:50:21
    本文为您介绍如何通过 EdgeOne 提供的防盗链能力,保护您的内容免受未经授权的盗链访问,提升加速服务的安全性。

    背景介绍

    盗链会导致其他网站或应用程序直接使用您的资源,消耗您的带宽和服务器资源,甚至可能导致您的内容被滥用或未经授权地传播,损害您的品牌形象和声誉。EdgeOne 支持一系列的防盗链能力,确保只有经过授权的用户才能访问和使用您的内容,保护您的内容安全。

    实现方式

    HTTP 应答:实现基础访问控制,如 IP 黑白名单、Referer 黑白名单、UA 黑白名单、区域访问控制。详情请参见 HTTP 应答
    Token 鉴权:即时间戳防盗链,安全性更高,更可靠。详情请参见 Token 鉴权
    边缘函数:定制化的防盗链能力,如远程鉴权等,可通过 边缘函数 支持。

    操作指南

    Referer 防盗链

    基于 HTTP 请求头中的 Referer 字段设置访问控制规则,实现对访客的身份识别和过滤,防止网站资源被非法盗用。配置 Referer 黑白名单,EdgeOne 会根据名单识别请求身份,允许或拒绝访问请求。允许访问请求,EdgeOne 会返回资源链接;拒绝访问请求,EdgeOne 会返回 403 响应码。

    配置示例

    若您 example.com 站点下的 www.example.com 域名业务仅允许 Referer 为 https://www.example.com 的访问,其它请求则直接 403 拒绝,可参考以下步骤:
    1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点。
    2. 在站点详情页面,单击站点加速,进入站点全局配置页面,单击规则引擎 Tab 页。
    3. 在规则引擎页面,单击创建规则,选择新增空白规则
    3.1 在规则编辑页面,匹配类型选择为 HOST 等于 www.example.com,同时设置匹配类型 HTTP 请求头 Referer 头部值不等于 https://www.example.com
    3.2 单击操作,在弹出的操作列表内,选择操作为 HTTP 应答
    3.3 配置响应状态码 403,响应页面通过下拉框选择,若当前无页面,则需要单击新建页面先创建,创建完成再引用。
    4. 完整的规则配置如下所示,单击保存并发布,即可完成该规则配置。
    

    IP 黑白名单

    通过配置 IP 黑白名单过滤用户请求,拦截或允许特定 IP 的访问,可以有效限制访问来源,解决恶意 IP 盗刷、攻击等问题。

    配置示例

    若您 example.com 站点下的 www.example.com 域名业务仅允许客户端 IP 在 1.1.2.1~1.1.2.254 地址范围(包含 1.1.2.1 和 1.1.2.254)时,才能访问该加速域名下的资源,否则直接 403 拒绝,可参考以下步骤:
    1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点。
    2. 在站点详情页面,单击站点加速,进入站点全局配置页面,单击规则引擎 Tab 页。
    3. 在规则引擎页面,单击创建规则,选择新增空白规则
    3.1 在规则编辑页面,匹配类型选择为 HOST 等于 www.example.com,同时设置匹配类型客户端 IP 等于 1.1.2.0/24
    3.2 单击操作,在弹出的操作列表内,选择操作为 HTTP 应答
    3.3 配置响应状态码 403,响应页面通过下拉框选择,若当前无页面,则需要单击新建页面先创建,创建完成再引用。
    4. 完整的规则配置如下所示,单击保存并发布,即可完成该规则配置。
    

    UA 黑白名单

    User-Agent 是 HTTP 请求头的一部分,包含用户访问时所使用的操作系统及版本、浏览器类型及版本等标识信息。您可以通过配置 User-Agent 黑白名单规则,限制访问业务资源的用户来源,提升加速的安全性。

    配置示例:

    若您 example.com 站点下的 www.example.com 域名业务被谷歌爬虫恶意爬取资源,导致域名带宽突增,严重影响账单。通过分析,发现爬虫请求 User-Agent 包含spider,您希望拦截该类请求,可参考以下步骤:
    1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点。
    2. 在站点详情页面,单击站点加速,进入站点全局配置页面,单击规则引擎 Tab 页。
    3. 在规则引擎页面,单击创建规则,选择新增空白规则
    3.1 在规则编辑页面,匹配类型选择为 HOST 等于 www.example.com
    3.2 单击操作,在弹出的操作列表内,选择操作为 HTTP 应答,同时设置匹配类型 HTTP 请求头 User-Agent 头部值正则匹配 *spider*
    3.3 配置响应状态码 403,响应页面通过下拉框选择,若当前无页面,则需要单击新建页面先创建,创建完成再引用。
    4. 完整的规则配置如下所示,单击保存并发布,即可完成该规则配置。
    

    Token 鉴权

    Token 鉴权是一种实现原理简单、可靠性高的访问控制策略,通过配置鉴权规则进行 URL 访问校验,可有效防止站点资源被恶意盗刷。该功能的使用需要客户端和 EdgeOne 配合,客户端负责发起加密的 URL 请求,EdgeOne 负责根据预先设定的规则对 URL 进行合法性验证。详细的配置使用方式,您可以参考Token 鉴权

    远程鉴权

    如果您有自己的鉴权服务器,可以通过配置远程鉴权,将用户请求转发至您指定的鉴权服务器,由鉴权服务器对用户请求进行校验,适用于需要精确控制访问权限和实时鉴权验证的场景。EdgeOne 可通过边缘函数实现远程鉴权能力,示例函数可参考 远程鉴权
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持