- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 控制台指南
- 工具指南
- 实践教程
- 开发者指南
- 数据湖存储
- 数据处理
- 故障处理
- API 文档
- 简介
- 公共请求头部
- 公共响应头部
- 错误码
- 请求签名
- 操作列表
- Service 接口
- Bucket 接口
- Object 接口
- 批量处理接口
- 数据处理接口
- 任务与工作流
- 内容审核接口
- 云查毒接口
- SDK 文档
- SDK 概览
- 准备工作
- Android SDK
- C SDK
- C++ SDK
- .NET(C#) SDK
- Flutter SDK
- Go SDK
- iOS SDK
- Java SDK
- JavaScript SDK
- Node.js SDK
- PHP SDK
- Python SDK
- React Native SDK
- 小程序 SDK
- 错误码
- 常见问题
- Related Agreements
- 附录
- 词汇表
- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 控制台指南
- 工具指南
- 实践教程
- 开发者指南
- 数据湖存储
- 数据处理
- 故障处理
- API 文档
- 简介
- 公共请求头部
- 公共响应头部
- 错误码
- 请求签名
- 操作列表
- Service 接口
- Bucket 接口
- Object 接口
- 批量处理接口
- 数据处理接口
- 任务与工作流
- 内容审核接口
- 云查毒接口
- SDK 文档
- SDK 概览
- 准备工作
- Android SDK
- C SDK
- C++ SDK
- .NET(C#) SDK
- Flutter SDK
- Go SDK
- iOS SDK
- Java SDK
- JavaScript SDK
- Node.js SDK
- PHP SDK
- Python SDK
- React Native SDK
- 小程序 SDK
- 错误码
- 常见问题
- Related Agreements
- 附录
- 词汇表
简介
腾讯云对象存储支持防盗链配置,用户可以对存储桶设置防盗链功能,该功能可以实现对访问来源设置黑、白名单,避免资源被盗用。本文为您详细介绍如何为存储桶配置防盗链,防止资源被盗用。
防盗链判断原理
防盗链是通过请求 Header 里的 Referer 地址来进行判断:
Referer 是 Header 的一部分,当浏览器向 Web 服务器发送请求的时候,一般会带上 Referer,告诉服务器该请求是从哪个页面链接过来的,服务器就可以禁止或允许某些来源的网站访问资源。
如果直接在浏览器直接打开文件链接
https://examplebucket-1250000000.cos.ap-guangzhou.myqcloud.com/1.jpg,请求 Header 里不会带有 Referer。例如,下图是在
https://127.0.0.1/test/test.html嵌入了图片1.jpg,访问https://127.0.0.1/test/test.html时就带有 Referer 指向访问来源:
盗链案例分析
用户 A 在 COS 上传了图片资源
1.jpg,得到图片的可访问链接为https://examplebucket-1250000000.cos.ap-guangzhou.myqcloud.com/1.jpg。用户 A 将该图片嵌入到自己的网页
https://example.com/index.html上,图片能正常访问。用户 B 在用户 A 网页上看到了该图片,决定将该图片嵌入在他自己的网页
https://b.com/test/test.html上,此时用户 B 的网页也能正常显示该图片。
以上案例中,用户 A 的图片资源1.jpg就被用户 B 盗链了。此时用户 A 在不知情的情况下,COS 上的资源持续被用户 B 网页正常使用,用户 A 负担了额外的流量费用,造成了费用损失。解决方式
1. 用户 A 给存储桶 examplebucket-1250000000 设置防盗链规则,有两种方式可以防止用户 B 盗链:
开启方式一:配置黑名单模式,域名设置填入
*.b.com并保存生效。开启方式二:配置白名单模式,域名设置填入
*.example.com并保存生效。2. 开启了防盗链配置之后:
访问
https://example.com/index.html 图片显示正常。访问
https://b.com/test/test.html 图片无法显示,表现如下图。
具体步骤
1. 登录 对象存储控制台,在左侧导航栏中单击【存储桶列表】,进入存储桶列表页。
2. 选择需要设置防盗链的存储桶,进入存储桶。
3. 在左侧菜单栏中单击【安全管理】>【防盗链设置】,进入存储桶防盗链设置的配置页。
4. 在“防盗链设置”栏中,单击【编辑】,进入编辑状态。
5. 开启防盗链,并配置名单类型和域名,此处选择开启方式二,详细说明如下:
类型:有黑、白名单两种:
黑名单:限制名单内的域名访问存储桶的默认访问地址,若名单内的域名访问存储桶的默认访问地址,则返回403。
白名单:限制名单外的域名访问存储桶的默认访问地址,若名单外的域名访问存储桶的默认访问地址,则返回403。
Referer :设置域名支持最多十条域名且为前缀匹配,支持域名、IP 和通配符
*等形式的地址。一个地址占一行,多个地址请换行。配置规则说明和示例如下:支持带端口的域名和 IP,如
example.com:8080、10.10.10.10:8080等地址。配置
example.com,可命中如example.com/123等以example.com为前缀的地址。配置
example.com,可命中如https://example.com和http://example.com为前缀的地址。配置
example.com,可命中它的带端口域名example.com:8080。 配置
example.com:8080,不会命中域名example.com。配置
*.example.com,可限制它的二级、三级域名example.com、b.example.com、a.b.example.com。注意
用户设置防盗链状态为开启后,必须填入相应的域名。
6. 配置完成之后,单击【保存】即可。
是
否
本页内容是否解决了您的问题?