文档首页/ 对象存储服务 OBS/ 用户指南/ 数据安全/ 配置防盗链防止非法流量盗用
更新时间:2024-10-23 GMT+08:00
查看PDF
分享

配置防盗链防止非法流量盗用

OBS提供同时支持允许白名单访问和阻止黑名单访问的配置,防止盗链。

使用场景

一些不良网站为了不增加成本而扩充自己站点内容,经常盗用其他网站的链接。一方面损害了原网站的合法利益,另一方面又加重了服务器的负担。因此,产生了防盗链技术。

在HTTP协议中,通过表头字段referer,网站可以检测目标网页访问的来源网页。有了referer跟踪来源,就可以通过技术手段来进行处理,一旦检测到来源不是本站即进行阻止或者返回指定的页面。防盗链就是通过设置Referer,去检测请求来源的referer字段信息是否与白名单或黑名单匹配,如果与白名单匹配成功则允许请求访问,否则阻止请求访问或返回指定页面。

为了防止用户在OBS的数据被其他人盗链,OBS支持基于HTTP header中表头字段referer的防盗链方法。OBS同时支持访问白名单和访问黑名单的设置。

Referer规则如下:

  • 白名单Referer/黑名单Referer输入的字节数不能超过1024个字符。
  • Referer格式:
    • Referer可以设置多个,多个Referer换行隔开;
    • Referer参数支持通配符(*)和问号(?),通配符可代替0个或多个字符,问号可代替单个字符;
    • 如果下载时Referer头域包含了http或https,则Referer设置必须包含http或https。
  • 白名单Referer为空,黑名单Referer不空时,允许所有黑名单中指定网站以外的其他网站的请求访问目标桶中的数据。
  • 白名单Referer不为空,黑名单Referer为空或不空时,允许在白名单且不在黑名单中的网站的请求访问目标桶中的数据。

当白名单Referer与黑名单Referer内容有交集时,交集部分Referer被禁止。例如:当白名单Referer与黑名单Referer输入框中的referer字段都有“https://www.example.com”时,系统是阻止该网站的请求访问的。

  • 黑名单Referer与白名单Referer都为空时,默认允许所有网站的请求访问目标桶中的数据。
  • 判断用户是否有对桶及其内容访问的四种权限(读取权限、写入权限、ACL读取权限、ACL写入权限)之前,需要首先检查是否符合referer字段的防盗链规则。
  • Referer配置支持泛域名。

白名单和黑名单设置方法如下:

  • 白名单设置

    通过设置白名单,用户可以指定允许来自白名单列表中的网站的请求访问,否则将进行拦截。

    通过浏览器地址栏直接访问资源的请求,即HTTP请求中referer为空的场景,用户可以通过在Condition的"Referer"中添加${null}字段,用于指定是否允许referer为空的请求访问。

    白名单设置具体参考如下policy设置进行实现:

    "Statement":[ 
    {"Sid": "1", 
     "Effect": "Allow", 
     "Principal": {"ID":["*"]}, 
     "Action": "*", 
     "Resource":["bucket/*"], 
    }, 
    {"Sid":"2", 
     "Effect":"Deny", 
     "Principal":{"ID":["*"]}, 
     "Action":["*"], 
     "Resource":["bucket/*"],
     "Condition":{ 
         "StringNotEquals": 
         {"Referer":["http://www.example01.com","${null}"]} 
      } 
    } 
]

    如果按照此方式设置,只有referer为"www.example01.com"和referer为空的请求可以对桶bucket中的资源进行操作。

  • 黑名单设置

    使用访问黑名单功能可以参考如下policy设置进行实现:

    "Statement":[ 
    {"Sid":"1", 
     "Effect":"Deny", 
     "Principal":{"ID":["*"]}, 
     "Action":["*"], 
     "Resource":["bucket/*"],                              
     "Condition":{ 
         "StringEquals": 
            {"Referer":["http://www.example01.com","http://www.example02.com"]} 
      } 
    } 
]

    如果按照此方式设置,当referer为"www.example01.com"或"www.example02.com"时,就不能对桶bucket中的资源进行操作。

前提条件

已经配置了静态网站托管。

使用方式

OBS支持通过控制台、API方式配置防盗链,不支持通过SDK、OBS Browser+、obsutil方式配置防盗链。

使用OBS控制台

  1. OBS管理控制台左侧导航栏选择“对象存储”
  2. 在OBS管理控制台桶列表中,单击待操作的桶,进入“对象”页面。
  3. 在左侧导航栏单击“访问权限控制>防盗链”,进入“防盗链”界面。
  4. 单击“白名单Referer”/“黑名单Referer”后的,输入白名单/黑名单。

    Referer规则如下:

    • 白名单Referer/黑名单Referer输入的字节数不能超过1024个字符。
    • Referer格式:
      • Referer可以设置多个,多个Referer换行隔开;
      • Referer参数支持通配符(*)和问号(?),通配符可代替0个或多个字符,问号可代替单个字符;
      • 如果下载时Referer头域包含了http或https,则Referer设置必须包含http或https。
    • 白名单Referer为空,黑名单Referer不空时,允许所有黑名单中指定网站以外的其他网站的请求访问目标桶中的数据。
    • 白名单Referer不为空,黑名单Referer为空或不空时,只允许白名单中指定网站的请求访问目标桶中的数据。

    当白名单Referer与黑名单Referer内容一样时,黑名单生效。例如:当白名单Referer与黑名单Referer输入框中的referer字段都为“https://www.example.com”时,系统是阻止该请求访问的。

    • 黑名单Referer与白名单Referer都为空时,默认允许所有网站的请求访问目标桶中的数据。
    • 判断用户是否有对桶及其内容访问的四种权限(读取权限、写入权限、ACL读取权限、ACL写入权限)之前,需要首先检查是否符合referer字段的防盗链规则。

  5. 单击保存设置。

使用API

设置防盗链白名单

父主题: 数据安全