简介

为了避免恶意程序使用资源 URL 盗刷公网流量或使用恶意手法盗用资源，给用户带来不必要的损失。腾讯云对象存储支持防盗链配置，建议您通过控制台的防盗链设置配置黑/白名单，来进行安全防护。

如果您访问对象时带有签名（不论 URL 和 Header），则不进行防盗链验证。

操作步骤

1. 登录 对象存储控制台，在左侧菜单栏中单击【存储桶列表】，进入存储桶列表页。
2. 找到您需要设置防盗链的存储桶，单击其名称，进入存储桶管理页。
3. 单击【安全管理】>【防盗链设置】，找到防盗链设置，单击【编辑】进入可编辑状态。
   
4. 修改当前状态为开启，选择名单类型（黑名单或白名单），设置好相应域名，设置完成后单击【保存】即可，配置项说明如下：
   • 黑名单：拒绝名单内的域名访问存储桶的默认访问地址，若名单内的域名访问存储桶的默认访问地址，则返回403。
   • 白名单：允许名单内的域名访问存储桶的默认访问地址，若名单外的域名访问存储桶的默认访问地址，则返回403。
   • 空 referer：HTTP 请求中，header 为空 referer（即不带 referer 字段或 referer 字段为空）。
   • Referer：支持设置最多10条域名且为相同前缀匹配，每条一行，多条请换行；支持域名、IP 和通配符*等形式的地址。示例如下：
     • 配置www.example.com：可限制如www.example.com/123、www.example.com.cn等以www.example.com为前缀的地址。
     • 支持带端口的域名和 IP，例如www.example.com:8080、10.10.10.10:8080等地址。
     • 配置*.example.com：可限制a.b.example.com/123、a.example.com等地址。
       

如果通过 CDN 域名加速访问，则优先执行 CDN 的防盗链规则，再执行对象存储的防盗链规则。

示例

APPID 为 1250000000 的用户创建了一个名为 examplebucket-1250000000 的存储桶，并在根目录下放置了一张图片 picture.jpg，COS 根据规则生成了一个默认访问地址 ：

examplebucket-1250000000.file.myqcloud.com/picture.jpg

用户 A 拥有网站：

www.example.com

并将该图片嵌入了首页 index.html 中。

此时站长 B 持有网站：

www.fake.com

站长 B 想把这张图片放入www.fake.com中。由于不想付流量费用，他便直接通过以下地址引用了 picture.jpg，并放置到www.fake.com网站首页 index.html。

examplebucket-1250000000.file.myqcloud.com/picture.jpg

为了避免用户 A 的损失，针对以上状况，我们提供两种开启防盗链的方式。

开启方式一

配置黑名单模式，域名设置填入*.fake.com并保存生效。

开启方式二

配置白名单模式，域名设置填入*.example.com并保存生效。

开启前

访问http://www.example.com/index.html图片显示正常。
访问http://www.fake.com/index.html图片也显示正常。

开启后

访问http://www.example.com/index.html图片显示正常。
访问http://www.fake.com/index.html图片无法显示。

小程序相关说明

1. 小程序的网络请求的 referer 是固定格式为：https://servicewechat.com/{appid}/{version}/page-frame.html。
2. 如果存储桶打开了防盗链限制，并且需要允许小程序加载 COS 图片，请在 COS 控制台 配置防盗链白名单：servicewechat.com。