引言
前段时间出现过一回,几个印度ip狂刷我们的OSS,导致OSS资费爆炸。
认真检查过后,发现是很单纯的批量访问,连referer都没带有的那种,根本就不是从网页正常请求的。
所有考虑了一下,搞一下这个防盗链吧,另外再简单搞个跨域验证,避免一下小白搞我们服务。
实现
首先进阿里云官网(我这里以阿里云为例,腾讯云、新浪云之类的就自己摸索,差不多的)
然后找到CDN和OSS的管控台。
CDN内容分发网络
跨域保护
找到“内容分发服务(CDN)”下的“域名管理”菜单,确定你要管控的域名
点击对应的“管理”按钮
进到对应域名配置后,找到这个“缓存配置”下的“节点HTTP响应头”选项下的“添加”按钮
这个就是内容分发网络节点(数据返回的节点)可设置的响应头配置
也就是HTTP协议的响应部分配置,可以在这里自定义你需要的响应,我这里增加几个跨域配置:
Access-Control-Allow-Origin:具体的域名(需要包括协议)Access-Control-Allow-Methods:GET, POST, PUT, DELETE, OPTIONSAccess-Control-Allow-Headers:Content-Type, X-Requested-WithAccess-Control-Max-Age:3600(单位秒)
设置后,常规的浏览器请求就无法轻松访问到这个CDN的资源了(还是有办法绕开的)
注意,这里的Access-Control-Allow-Origin需要开启跨域验证,否则不会有效果
其他的倒是不需要做这种额外设置。
设置完之后的样子是这样的:
注意:设置完成后,要稍等一会,等显示“配置成功”才行,这是因为节点应用需要时间
防盗链保护
找到“访问控制”菜单下的“Referer防盗链”选项卡,找到这个“修改配置”按钮
点击修改,弹出窗口中需要填写具体的规则,比如我这里:
我设置只有我的网站(trunning.cn域名下的所有页面)才能访问,其他访问的话,都会返回403状态码禁止访问。
但是要注意后面勾选一下这个“忽略scheme”,也就是不管访问的是http协议还是https协议,都会被这个匹配到。
OSS配置防盗链
OSS配置的防盗链,就跟上面CDN基本一致,就不再赘述了。
下面这个是进入的方式:
你具体的bucket名字 -> 数据安全 -> 防盗链 -> 设置
瑞思拜~
下班
