问题描述
检查腾讯云对象存储 COS 的防盗链配置情况。 当COS存储桶权限为公有读时,如果防盗链出现以下两种情况,可能会导致存储桶出现安全风险。
- 未开启防盗链配置。
- 开启防盗链配置,允许了空 Referer 的访问
解决方案
腾讯云对象存储支持防盗链配置,来提升存储桶的安全防护,防止资源被盗用。
防盗链实战配置参考: COS对象存储 - 最佳实践 - 防盗链实践
操作步骤
- 登录 对象存储控制台,在左侧菜单栏中单击存储桶列表,进入存储桶列表页面。
- 找到您需要设置防盗链的存储桶,单击其名称,进入存储桶管理页面。
- 单击安全管理 > 防盗链设置,找到防盗链设置,单击编辑进入可编辑状态。
- 修改当前状态为开启,选择名单类型(黑名单或白名单),设置好相应域名,设置完成后单击保存即可,配置项说明如下:
- 黑名单:拒绝名单内的域名访问存储桶的默认访问地址,若名单内的域名访问存储桶的默认访问地址,则返回403。
- 白名单:允许名单内的域名访问存储桶的默认访问地址,若名单外的域名访问存储桶的默认访问地址,则返回403。
- 空 referer:HTTP 请求中,header 为空 referer(即不带 referer 字段或 referer 字段为空)。
- Referer:支持设置最多10条域名且为相同前缀匹配,每条一行,多条请换行;支持域名、IP 和通配符
*等形式的地址。示例如下: - 配置
www.example.com:可限制如www.example.com/123、www.example.com.cn等以www.example.com为前缀的地址。 - 支持带端口的域名和 IP,例如
www.example.com:8080、10.10.10.10:8080等地址。 - 配置
*.example.com:可限制a.b.example.com/123、a.example.com等地址。
注意事项
- 小程序的网络请求的 referer 是固定格式为:
https://servicewechat.com/{appid}/{version}/page-frame.html。 - 如果存储桶打开了防盗链限制,并且需要允许小程序加载 COS 图片,请在 COS 控制台 配置防盗链白名单:
servicewechat.com。 - 如果通过 CDN 域名加速访问,则优先执行 CDN 的防盗链规则,再执行对象存储的防盗链规则。
