前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >EdgeOne 防盗链实践教程

EdgeOne 防盗链实践教程

原创
作者头像
EdgeOne小助手
发布2024-08-27 19:32:24
1040
发布2024-08-27 19:32:24

本文为您介绍如何通过 EdgeOne 提供的防盗链能力,保护您的内容免受未经授权的盗链访问,提升加速服务的安全性。

背景介绍

盗链会导致其他网站或应用程序直接使用您的资源,消耗您的带宽和服务器资源,甚至可能导致您的内容被滥用或未经授权地传播,损害您的品牌形象和声誉。EdgeOne 支持一系列的防盗链能力,确保只有经过授权的用户才能访问和使用您的内容,保护您的内容安全。

实现方式

  • HTTP 应答:实现基础访问控制,如 IP 黑白名单、Referer 黑白名单、UA 黑白名单、区域访问控制。详情请参见 HTTP 应答
  • Token 鉴权:即时间戳防盗链,安全性更高,更可靠。详情请参见 Token 鉴权
  • 边缘函数:定制化的防盗链能力,如远程鉴权等,可通过 边缘函数 支持。

操作指南

Referer 防盗链

基于 HTTP 请求头中的 Referer 字段设置访问控制规则,实现对访客的身份识别和过滤,防止网站资源被非法盗用。配置 Referer 黑白名单,EdgeOne 会根据名单识别请求身份,允许或拒绝访问请求。允许访问请求,EdgeOne 会返回资源链接;拒绝访问请求,EdgeOne 会返回 403 响应码。

配置示例

若您 example.com 站点下的 www.example.com 域名业务仅允许 Referer 为 https://www.example.com 的访问,其它请求则直接 403 拒绝,可参考以下步骤:

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点。

2. 在站点详情页面,单击站点加速,进入站点全局配置页面,单击规则引擎 Tab 页。

3. 在规则引擎页面,单击创建规则,选择新增空白规则

  • 3.1 在规则编辑页面,匹配类型选择为 HOST 等于 www.example.com,同时设置匹配类型 HTTP 请求头 Referer 头部值不等于 https://www.example.com
  • 3.2 单击操作,在弹出的操作列表内,选择操作为 HTTP 应答
  • 3.3 配置响应状态码 403,响应页面通过下拉框选择,若当前无页面,则需要单击新建页面先创建,创建完成再引用。

4. 完整的规则配置如下所示,单击保存并发布,即可完成该规则配置。

IP 黑白名单

通过配置 IP 黑白名单过滤用户请求,拦截或允许特定 IP 的访问,可以有效限制访问来源,解决恶意 IP 盗刷、攻击等问题。

配置示例

若您 example.com 站点下的 www.example.com 域名业务仅允许客户端 IP 在 1.1.2.1~1.1.2.254 地址范围(包含 1.1.2.1 和 1.1.2.254)时,才能访问该加速域名下的资源,否则直接 403 拒绝,可参考以下步骤:

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点。

2. 在站点详情页面,单击站点加速,进入站点全局配置页面,单击规则引擎 Tab 页。

3. 在规则引擎页面,单击创建规则,选择新增空白规则

  • 3.1 在规则编辑页面,匹配类型选择为 HOST 等于 www.example.com,同时设置匹配类型客户端 IP 等于 1.1.2.0/24
  • 3.2 单击操作,在弹出的操作列表内,选择操作为 HTTP 应答
  • 3.3 配置响应状态码 403,响应页面通过下拉框选择,若当前无页面,则需要单击新建页面先创建,创建完成再引用。

4. 完整的规则配置如下所示,单击保存并发布,即可完成该规则配置。

UA 黑白名单

User-Agent 是 HTTP 请求头的一部分,包含用户访问时所使用的操作系统及版本、浏览器类型及版本等标识信息。您可以通过配置 User-Agent 黑白名单规则,限制访问业务资源的用户来源,提升加速的安全性。

配置示例:

若您 example.com 站点下的 www.example.com 域名业务被谷歌爬虫恶意爬取资源,导致域名带宽突增,严重影响账单。通过分析,发现爬虫请求 User-Agent 包含spider,您希望拦截该类请求,可参考以下步骤:

1. 登录 边缘安全加速平台 EO 控制台,在左侧菜单栏中,单击站点列表,在站点列表内单击需配置的站点。

2. 在站点详情页面,单击站点加速,进入站点全局配置页面,单击规则引擎 Tab 页。

3. 在规则引擎页面,单击创建规则,选择新增空白规则

  • 3.1 在规则编辑页面,匹配类型选择为 HOST 等于 www.example.com
  • 3.2 单击操作,在弹出的操作列表内,选择操作为 HTTP 应答,同时设置匹配类型 HTTP 请求头 User-Agent 头部值正则匹配 *spider*
  • 3.3 配置响应状态码 403,响应页面通过下拉框选择,若当前无页面,则需要单击新建页面先创建,创建完成再引用。

4. 完整的规则配置如下所示,单击保存并发布,即可完成该规则配置。

Token 鉴权

Token 鉴权是一种实现原理简单、可靠性高的访问控制策略,通过配置鉴权规则进行 URL 访问校验,可有效防止站点资源被恶意盗刷。该功能的使用需要客户端和 EdgeOne 配合,客户端负责发起加密的 URL 请求,EdgeOne 负责根据预先设定的规则对 URL 进行合法性验证。详细的配置使用方式,您可以参考Token 鉴权

远程鉴权

如果您有自己的鉴权服务器,可以通过配置远程鉴权,将用户请求转发至您指定的鉴权服务器,由鉴权服务器对用户请求进行校验,适用于需要精确控制访问权限和实时鉴权验证的场景。EdgeOne 可通过边缘函数实现远程鉴权能力,示例函数可参考 远程鉴权

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 背景介绍
  • 实现方式
  • 操作指南
    • Referer 防盗链
      • IP 黑白名单
        • UA 黑白名单
          • Token 鉴权
            • 远程鉴权
            相关产品与服务
            边缘安全加速平台 EO
            边缘安全加速平台 EO (TencentCloud EdgeOne)基于腾讯云遍布全球的边缘节点,提供域名解析、动静态智能加速、TCP/UDP 四层加速、DDoS/CC/Web/Bot 防护、边缘函数计算等边缘一体化服务,可帮助客户更快速、更安全、更灵活地响应用户请求。
            领券
            问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档