最近更新时间:2024-08-02 11:42:43
为了避免资源被非法用户盗用,您可以通过设置Refer黑白名单、IP黑白名单以及时间戳防盗链功能来实现对访客身份的识别和过滤,从而限制访问CDN资源的用户,提升CDN的安全性。
功能 | 描述 |
---|---|
Referer黑白名单 | 通过配置访问的Refer黑名单和白名单来实现对访客身份的识别和过滤,限制访问CDN资源的用户。 |
IP黑白名单 | 通过配置IP黑名单和白名单来实现对访客身份的识别和过滤,限制访问CDN资源的用户。 |
时间戳防盗链 | 通过时间戳+秘钥两重防盗,校验密钥匹配,校验时间有效期,两者都通过才合法,否则将拒绝访问,该防盗链安全性更高 |
点击【访问控制】按钮,切换菜单页即可设置Refer防盗链配置、IP黑白名单配置以及时间戳+共享密钥防盗链配置。
Refer黑名单:开启Refer黑名单后,包含黑名单中Refer的HTTP请求均无法访问当前的加速域名。
Refer白名单:开启白名单功能后,只有包含白名单中Refer的HTTP请求能访问当前的加速域名,白名单以外的Refer均无法访问当前的加速域名,请谨慎操作!
点击菜单页【Refer防盗链】,即可设置防盗链。
当前仅支持refer黑/白名单功能;
可设置允许空Refer访问(即允许通过浏览器地址栏直接访问资源URL);
可添加泛域名。
注意:
同一域名下配置的refer黑/白名单有且只能有一种;
允许空Refer与refer黑白名单搭配使用,选中则允许空Refer访问(即允许通过浏览器地址栏直接访问资源URL),反之不允许空Refer访问,默认允许空Refer访问;
每种refer防盗链可以配置多个域名,不同域名间以换行符分隔,每个域名下可配置100条refer域名。
IP黑名单:开启IP黑名单后,黑名单内的IP均无法访问当前的加速域名。
IP白名单:开启白名单功能后,只有白名单内的IP能访问当前加速域名,白名单以外的IP均无法访问当前的加速域名,请谨慎操作!
点击菜单页【IP黑白名单】,即可设置IP黑白名单。
当前仅支持IP黑/白名单功能;
支持单个IP或者IP段的配置方式。
注意:
同一域名下配置的IP黑/名单有且只能有一种;
不同IP间以回车符分隔,每个域名下IPV4/IPV6可各配置100条IP名单。
时间戳+共享秘钥防盗链的目的是使得每个请求的 url 都具有一定的“时效性” ,确保用户的内容资源在经过 CDN分发时不被其他人恶意引用或者被非法用户下载,从而确保服务的安全性以及避免产生不必要的CDN 带宽浪费,为用户节约成本。
CDN节点在验证请求时,首先将URL中timestamp的值与当前时间比较,如果timestamp的值小于当前时间,则认为过期,鉴权失败,拒绝访问,返回HTTP 403错误。如果timestamp的值大于当前时间,则用请求中md5hash的计算方法md5值(秘钥+URI+时间戳),将这个值与请求中的md5hash值比对,比对一致则允许访问,否则认为鉴权失败,拒绝访问,返回HTTP 403错误。
时间戳+共享秘钥防盗链为全局配置,支持两种类型,客户可根据自身业务需要进行选择。
加密字符串在URL的参数中
http://DomainName/DataFile/FileName?t=timestamp&k=md5hash
加密字符串在URL的路径中
http://DomainName/md5hash/timestamp/DataFile/FileName
1、共享秘钥:支持主备情况,可自行设置,主秘钥为必填项,备用秘钥为选填,备用秘钥最多可以设置4个。
2、timestamp:失效时间,可以是访问时间也可以是将来过期时间,若是访问时间需配置过期时间如1800s,用户访问客户源服务器时间超过自定义过期时间后,该鉴权失效;例如用户设置访问时间2020-08-15 15:00:00,则链接真正失效时间是2020-08-15 15:30:00。
选择请求对象
请求对象:http: //ksyun.cdn.com/home/test.dat
设置共享密钥
主秘钥设为:ksyuncdnexp1,备用秘钥设为:kscdnexp2
设置时间戳时间,设访问时间为2017年11月20日00:00:00,单位转换为秒,即1511107200
计算md5值
用主秘钥计算md5hash=md5(ksyuncdnexp1/home/test.dat1511107200)= 2e3c8055078acba25daddbc276e45154
类型1请求url为:
http: //ksyun.cdn.com/home/test.dat?t=1511107200&k=2e3c8055078acba25daddbc276e45154
类型2请求url为:
http: //ksyun.cdn.com/2e3c8055078acba25daddbc276e45154/1511107200/home/test.dat
计算出来的md5hash值与请求中带的md5hash值一致,则鉴权通过。主备秘钥有一个通过则认为鉴权通过。
点击菜单页【时间戳+共享密钥防盗链】,即可设置时间戳+共享密钥防盗链。
注意:
共享密钥必须由大小写字母(a-Z)或者数字(0-9)组成,长度在6-128个字符之间;
共享秘钥分为主、备;主秘钥为必填项,备秘钥为选填,备秘钥最多可以设置4个,多条备密钥用半角逗号分隔;
需要输入过期时间,单位为秒,需输入大于0的正整数,最大不超过31536000。
纯净模式