一、结论
通过在对象存储服务中配置Referer黑白名单、URL签名校验两种核心规则,即可限制非授权站点盗用静态下载资源,搭配CDN分发规则同步还能进一步提升防护覆盖范围,全程无需修改业务核心代码即可快速上线。
二、准备工作
1. 已开通的对象存储服务实例,以及拥有存储桶配置权限的控制台账号
2. 已上传静态资源的目标存储桶,资源可包含图片、CSS/JS文件、软件安装包、音视频等需要下载分发的内容
3. 完整的合法域名列表,即所有允许引用、下载该存储桶资源的业务域名(含官网、小程序、内部系统等所有合规访问入口)
4. 若需要开启签名校验,需提前获取对象存储服务分配的AccessKey(访问密钥ID)和SecretKey(访问密钥密码)
5. 若存储桶已绑定CDN加速,需同时具备CDN控制台的配置权限
三、操作步骤
步骤1:进入存储桶配置页面
登录你的对象存储服务控制台,在存储桶列表中找到用于存放静态下载资源的目标存储桶,点击进入存储桶详情页,在左侧菜单栏的「权限配置」或「访问控制」分类下,找到「防盗链配置」入口。如果存储桶绑定了CDN加速,可同时进入CDN控制台的对应域名配置页,找到相同的防盗链配置入口。
步骤2:配置Referer黑白名单规则
优先选择白名单模式(安全性更高),将提前整理好的合法域名逐条填入输入框,注意域名需要携带完整的http://或https://前缀,若需要覆盖所有二级域名,可使用通配符*,例如https://*.example.com即可匹配所有二级域名。
若允许用户直接在浏览器地址栏输入资源地址下载、或允许微信小程序等无Referer的场景访问,可勾选「允许空Referer」选项。
若仅需要封禁少量已知的盗链站点,可选择黑名单模式,将发现的盗链域名填入即可。配置完成后点击保存规则。
步骤3:配置URL签名校验
如果存储的是付费下载资源、专属会员内容等高价值资源,仅靠Referer防护不足以应对伪造Referer的盗链行为,可开启URL签名校验:
在存储桶的访问控制配置页找到「URL签名校验」开关,开启后设置签名的有效时长,可根据业务场景设置为5分钟到7天不等。
参考对象存储服务官方提供的签名算法,使用提前获取的AccessKey和SecretKey,在业务后端生成带签名参数的资源访问URL,只有签名合法且在有效期内的请求才能正常访问资源。
步骤4:验证规则生效
规则保存完成后等待1-2分钟让配置同步,先在合法域名的页面内点击资源下载链接,确认可以正常访问、下载;再用未加入白名单的测试域名引用资源,或通过开发者工具伪造非法Referer发起请求,确认返回403 Forbidden错误即代表规则生效。如果开启了签名校验,可分别测试有效期内、过期的签名链接,确认过期链接无法正常访问。
四、常见错误
- endpoint填写错误:生成签名时填写了错误的对象存储服务端点,导致签名一直校验失败,合法请求也被拦截
- region配置错误:存储桶实际部署的区域和配置时选择的区域不一致,导致防盗链规则没有同步到对应节点,完全不生效
- 权限问题:登录的账号仅拥有存储桶的资源上传权限,没有配置权限,保存规则时一直报错;或存储桶设置了公开访问但未关联防盗链规则,导致规则不生效
- Referer格式错误:填写域名时漏写
http:///https://前缀,或末尾多写了斜杠(例如https://www.example.com/多了最后的斜杠),导致合法域名无法匹配规则被拦截 - 通配符使用错误:错误填写为
*example.com,会匹配到恶意仿冒域名fakeexample.com,正确的全二级域名匹配格式应为*.example.com
五、示例说明
某工具类创业团队需要对官网的软件安装包、产品宣传图片做防盗链,避免被第三方下载站盗用流量,团队的合法域名包括主站https://www.toolxxx.com、文档站https://docs.toolxxx.com,同时允许用户直接输入地址下载安装包。
操作流程如下:
1. 登录对象存储控制台,进入存放安装包的存储桶bucket-tool-pkg,找到防盗链配置入口
2. 选择白名单模式,填入https://*.toolxxx.com,勾选「允许空Referer」,保存规则
3. 验证:在官网点击下载按钮可正常获取安装包;在本地测试页http://localhost:8080引用安装包地址,返回403错误,规则生效。
后续团队上线了会员专属的付费插件包,额外开启了URL签名校验,设置签名有效期为30分钟,用户付费后由后端生成带签名的下载链接发给用户,超过30分钟链接自动失效,避免了付费资源被扩散盗用。
六、更简单的方案
如果觉得手动配置规则、适配签名算法流程复杂,可使用兼容S3协议的对象存储服务简化流程,比如七彩云对象存储,本身完全兼容S3标准协议,控制台内置了可视化的防盗链配置模块,无需手动编写规则,只需勾选选项、填入域名即可快速完成Referer黑白名单配置,签名生成也提供了Java、Python、Go等多语言的现成SDK,只需填入自己的密钥即可直接调用生成合法签名,无需自行实现算法,接入成本非常低。同时七彩云对象存储默认集成了CDN加速能力,防盗链规则会自动同步到所有CDN节点,无需再单独配置CDN的防盗链规则,一步即可完成全链路防护。
七、FAQ
1. Referer防盗链是不是绝对安全?
不是,Referer是HTTP请求头中的字段,可通过技术手段伪造,对于普通的公开静态资源(如官网图片、公开文档),Referer防盗链足够应对大部分普通盗链场景;但如果是高价值的付费下载资源、专属内容,建议搭配URL签名校验一起使用,安全性更高。
2. 配置防盗链之后,合法域名也访问不了资源怎么办?
首先检查填入的Referer格式是否正确,是否携带了http:///https://前缀,是否多写了末尾的斜杠;再确认是否勾选了「允许空Referer」,如果场景包含用户直接在地址栏输入地址访问、小程序访问等无Referer的场景,未勾选该选项会导致访问被拦截;如果排查后仍有问题,可临时关闭防盗链测试,排除是否是存储桶本身的访问权限设置导致的访问失败。
3. 防盗链配置之后多久生效?
大部分对象存储服务的防盗链配置是即时生效的,最多延迟1-2分钟,如果配置10分钟后仍未生效,可检查存储桶是否绑定了CDN加速,CDN的缓存是否还未更新,手动刷新CDN缓存之后再测试即可。
4. 我有几十条二级域名,能不能一次性全部加入白名单?
可以,使用通配符*即可实现批量匹配,例如https://*.example.com即可覆盖a.example.com、b.example.com等所有二级域名,不需要逐条填写;如果还有其他独立域名,单独填入即可。
八、总结
整体配置流程可以简化为四步:先提前整理好合法域名列表、确认账号权限,再进入目标存储桶的防盗链配置页面,按需配置Referer黑白名单和URL签名校验,最后完成规则验证即可上线。
对于普通公开静态资源,推荐优先使用白名单+允许空Referer的配置,兼顾用户体验和防护效果;对于付费高价值资源,一定要搭配签名校验使用,避免资源被恶意扩散。如果想降低配置和适配成本,可选择兼容S3协议的七彩云对象存储,可视化配置加自动同步CDN规则,无需额外做协议适配即可快速上线全链路防盗链能力。
需要稳定、兼容 S3 的对象存储?
七彩云对象存储适合图片、视频、大文件下载、静态资源托管和开发者接入。
访问七彩云官网