对象存储防盗

简介

腾讯云对象存储（Cloud Object Storage，COS）支持防盗链配置，用户可以对存储桶设置防盗链功能，该功能可以实现对访问来源设置黑、白名单，避免资源被盗用。本文为您详细介绍如何为存储桶配置防盗链，防止资源被盗用。

防盗链判断原理

防盗链是通过请求 Header 里的 Referer 地址来进行判断：

Referer 是 Header 的一部分，当浏览器向 Web 服务器发送请求的时候，一般会带上 Referer，告诉服务器该请求是从哪个页面链接过来的，服务器就可以禁止或允许某些来源的网站访问资源。

如果直接在浏览器直接打开文件链接https://examplebucket-1250000000.cos.ap-guangzhou.myqcloud.com/1.jpg，请求 Header 里不会带有 Referer。

盗链案例分析

用户 A 在 COS 上传了图片资源1.jpg，得到图片的可访问链接为https://examplebucket-1250000000.cos.ap-guangzhou.myqcloud.com/1.jpg。

用户 A 将该图片嵌入到自己的网页https://example.com/index.html上，图片能正常访问。

用户 B 在用户 A 网页上看到了该图片，决定将该图片嵌入在他自己的网页https://b.com/test/test.html上，此时用户 B 的网页也能正常显示该图片。

以上案例中，用户 A 的图片资源1.jpg就被用户 B 盗链了。此时用户 A 在不知情的情况下，COS 上的资源持续被用户 B 网页正常使用，用户 A 负担了额外的流量费用，造成了费用损失。

解决方式

根据以上 盗链案例分析 ，用户 A 可以通过防盗链设置防止用户 B 盗链图片，具体方法如下：

1. 用户 A 给存储桶 examplebucket-1250000000 设置防盗链规则，有两种方式可以防止用户 B 盗链：

开启方式一：配置黑名单模式，域名设置填入*.b.com并保存生效。

开启方式二：配置白名单模式，域名设置填入*.example.com并保存生效。

实际应用

未开启防护

先看看不开启保护的实际案例

在csdn写博客时插入你的云存储图片链接，可以正常插入

将链接直接放入浏览器搜索，可以正常下载图片

开启防护后

我选择的是白名单访问模式，仅支持youdu.love 的referer访问云存储资源，拒绝其他所有referer或空referer访问云存储资源。

效果测试，这里还是使用csdn写博客测试。

开启防盗链后云存储资源就不会像刚才那样被正常插入了，而是回显错误信息。

再在浏览器直接访问测试，就不会和刚才那样正常下载了。