Referer防盜鏈,是基于HTTP請求頭中Referer字段(例如,Referer黑白名單)來設置訪問控制規則,實現對訪客的身份識別和過濾,防止網站資源被非法盜用。配置Referer黑白名單后,CDN會根據名單識別請求身份,允許或拒絕訪問請求。允許訪問請求,CDN會返回資源鏈接;拒絕訪問請求,CDN會返回403響應碼。
背景信息
Referer是HTTP請求頭的一部分,攜帶了HTTP請求的來源地址信息(協議+域名+查詢參數),可用于識別請求來源。
Referer防盜鏈是一種服務器端設置的訪問控制機制,用于防止未經授權的網站盜用服務器資源。具體來說,當一個用戶從某個網頁點擊鏈接訪問另一個網頁時,瀏覽器會自動在HTTP請求頭中添加一個Referer字段,這個字段記錄了用戶是從哪個網頁跳轉過來的。
阿里云CDN的Referer防盜鏈功能默認不啟用,表示任何網站均可訪問您的資源。
將某個域名添加到Referer黑名單或白名單后,CDN會默認將該域名的泛域名加入對應的規則名單。例如,如果您填寫
aliyundoc.com,則最終配置生效的是*.aliyundoc.com,即所有子級域名都會生效。當域名在進行Range請求時,由于Range第二次請求的時候會被瀏覽器加上Referer頭,因此需要對該域名Referer防盜鏈設置為白名單。
使用場景
Referer防盜鏈主要用于保護網站的資源不被其他網站直接引用或盜用,常見的使用場景包括:
版權保護:某些網站發布的內容受版權保護,使用Referer防盜鏈可以限制只有特定授權網站才能訪問這些內容,保護版權利益。
防止熱鏈盜用:用戶可以配置Referer防盜鏈,確保自己的資源只能在特定來源網站上使用,防止其他網站直接引用自己的資源,減少熱鏈盜用問題。
提高網站安全性:通過Referer防盜鏈,用戶可以設置只允許特定來源網站訪問自己的網站資源,防止惡意盜鏈行為、惡意訪問或盜取敏感信息。
控制流量來源:用戶可以使用Referer防盜鏈來限制只有特定來源網站的流量才能訪問自己的網站,有效控制流量來源,提高網站的穩定性和安全性。
綜上所述,您可以根據自己的需求,在不同的使用場景中使用CDN的Referer防盜鏈功能,保護網站資源、提高安全性和控制流量來源。
工作原理
服務器端檢查每個請求的Referer字段,如果Referer字段不是來自自己信任的網站,就拒絕提供服務。這樣可以防止其他網站直接鏈接到自己的資源,從而節省帶寬和服務器資源。如果配置了Referer防盜鏈,CDN將根據請求的Referer與配置的Referer規則來判斷是否允許此請求:
如果瀏覽器攜帶的Referer與黑名單Referer匹配,或與白名單Referer不匹配,則CDN將拒絕該請求的訪問。
如果瀏覽器攜帶的Referer與白名單Referer匹配,則CDN將允許該請求的訪問。
注意事項
配置Referer防盜鏈后,黑名單中的請求仍可訪問到CDN節點,但會被CDN節點拒絕并返回403狀態碼,CDN日志中仍會記錄客戶端的請求記錄。
由于Referer防盜鏈功能HTTP請求頭中Referer字段(例如,Referer黑白名單)來設置訪問控制規則,因此在黑名單中的請求被CDN節點攔截的同時,會產生少量的流量費用,如果客戶端使用HTTPS協議訪問,還會產生HTTPS請求數費用(因為攔截黑名單中請求的時候,也同時消耗了CDN節點的處理資源)。
操作步驟
登錄CDN控制臺。
在左側導航欄,單擊域名管理。
在域名管理頁面,找到目標域名,單擊操作列的管理。
在指定域名的左側導航欄,單擊訪問控制。
在Referer防盜鏈頁簽,單擊修改配置。
根據業務需求,設置Referer黑名單或白名單。
參數
說明
Referer類型
黑名單
黑名單內的域名均無法訪問當前的資源。
白名單
只有白名單內的域名能訪問當前資源,白名單以外的域名均無法訪問當前的資源。
說明黑名單和白名單互斥,同一時間您只能選擇其中一種方式。
規則
支持添加多個Referer名單,使用回車符進行分隔,每個Referer名單前不能加空格符。
支持使用星號(*)作為通配符。例如,配置
*.developer.aliyundoc.com,可以匹配到image.developer.aliyundoc.com或video.developer.aliyundoc.com等。
說明Referer防盜鏈規則的總長度最長不超過60 KB。
重定向URL
當請求被攔截后不會再返回403,而是會返回302+Location頭,該項為Location頭的值,必須以
http://或者https://開頭,例如:http://www.example.com。高級配置
允許通過瀏覽器地址欄直接訪問資源URL
系統默認未勾選。當勾選該選項時,無論配置的是Referer黑名單還是白名單,系統不攔截空Referer請求,CDN節點都將允許用戶訪問當前的資源。空Referer包括兩種情況:
用戶請求中不攜帶Referer頭。
用戶請求中攜帶了Referer頭,但值為空。
精確匹配
未勾選精確匹配時:
系統默認未勾選。
不支持精確匹配,可模糊匹配。
支持后綴匹配。不能在域名左邊加“.”,實際下發配置時系統會自動在域名左邊加上“.”。
Referer規則列表填寫
example.com,匹配example.com和<任意字符>.example.com。Referer規則列表填寫
a*b.example.com,匹配a<任意字符>b.example.com和<任意字符>.a<任意字符>b.example.com。
勾選精確匹配時:
支持精確匹配,不匹配子域名。
Referer規則列表填寫
example.com,僅匹配example.com。Referer規則列表填寫
a*b.example.com,僅匹配a<任意字符>b.example.com。
不支持后綴匹配。
忽略scheme
無論配置的是Referer黑名單還是白名單:
未勾選忽略scheme時,如果用戶請求中的Referer沒有帶上HTTP或HTTPS協議頭部,則按照無效Referer進行處理。例如Referer格式為
www.example.com時無效,只有Referer格式為https://www.*.com或http://www.*.com才有效。勾選忽略scheme后,如果用戶請求中的Referer沒有帶上HTTP或HTTPS協議頭部,則依然當作有效Referer進行處理。例如Referer格式為
www.example.com依然有效。
規則條件
規則條件能夠對用戶請求中攜帶的各種參數信息進行識別,以此來決定某個配置是否對該請求生效。
不使用:不使用規則條件。
選擇已配置的規則引擎,新增或修改規則引擎請參見規則引擎。
單擊確定,完成配置。
Referer匹配邏輯
通過以下名單配置為例,闡述Referer頭部的匹配邏輯。如果一個請求未匹配白名單或者匹配了黑名單,CDN會拒絕請求并返回403狀態碼。
名單配置 | 用戶請求中的Referer值 | 匹配結果 | 匹配邏輯說明 |
| http://www.example.com/img.jpg | 是 | Referer頭部中的域名匹配名單。 |
http://www.example.com:80/img.jpg | 是 | ||
www.example.com | 見匹配邏輯說明 |
| |
http://aaa.example.com | 是 | 無論是否勾選精確匹配,結果均為匹配。 | |
http://aaa.bbb.example.com | 見匹配邏輯說明 |
| |
http://example.com | 否 | Referer頭部中的二級域名不匹配名單中的泛域名條目。原因是泛域名不包含二級域名本身。 | |
http://www.example.net | 不匹配任何規則 | 既未匹配白名單,也未匹配黑名單,按照默認策略處理,允許訪問。 |
常見問題
請求中的Referer字段不是應該默認自帶HTTP或HTTPS協議頭部嗎,為什么還會出現沒有帶上HTTP或HTTPS協議頭部的情況?
一般情況下,用戶請求中的Referer應該是帶有HTTP或HTTPS協議頭部的。然而,在某些情況下,可能會出現沒有帶上HTTP或HTTPS協議頭部的Referer的情況。
一種常見的情況是當用戶從一個不安全的網站(即未使用HTTPS加密)跳轉到一個使用HTTPS協議的網站時,瀏覽器在發送請求時可能會將Referer字段中的協議頭部去除,以保護用戶數據的安全性。這種情況下,Referer字段只會包含域名部分,不包含協議頭部。
另外,某些瀏覽器或代理服務器可能會在特定情況下自動去除Referer字段的協議頭部,例如在隱私保護模式下或通過匿名代理訪問網站時。
因此,在實際應用中,需要注意處理請求中Referer字段可能沒有帶上HTTP或HTTPS協議頭部的情況,以確保正確判斷和使用Referer信息。如果請求中Referer字段沒有攜帶HTTP或HTTPS協議頭部,但又想匹配命中該請求,您需要勾選忽略scheme選項。
為什么會出現空Referer,對于此類請求應該怎么處理?
空Referer(也稱為Referer頭為空)是指在HTTP請求中缺失了Referer請求頭部的情況。請求中的Referer頭通常包含完整的URI,其中包括協議(如 http 或 https)、主機名,可能還包括路徑和查詢字符串等。空Referer可能出現的原因:
直接訪問:用戶直接通過瀏覽器地址欄輸入網址、或通過書簽訪問、或打開一個新的空白標簽頁時,都沒有來源網頁,因此Referer頭為空。
用戶隱私:用戶或用戶使用的軟件(比如瀏覽器擴展或隱私模式)可能出于隱私保護考慮故意去除Referer頭。
安全協議:從HTTPS頁面跳轉到HTTP頁面的時候,為了安全起見,避免敏感信息泄露,瀏覽器通常不會發送Referer頭。
客戶端策略:一些網站或應用程序可能出于安全考慮,通過設置
<meta>標簽或者HTTP頭(如Referrer-Policy)控制Referer的發送。跨域請求:某些跨域請求可能因瀏覽器的安全策略而不攜帶Referer頭。
對于帶有空Referer的請求,怎樣處理取決于具體應用場景和安全要求。以下是一些處理建議:
默認策略:如果您的服務不需要依賴Referer信息來作出決策,那么可以允許帶有空Referer的請求。
允許訪問:對于特定的URL或源,您可以勾選允許通過瀏覽器地址欄直接訪問資源URL選項,只允許來自這些來源的請求,即使Referer為空,CDN節點都將允許用戶訪問當前的資源。