通過設定Referer防盜鏈規則來避免網站被惡意盜刷 - Edge Security Acceleration

Referer防盜鏈基於HTTP要求標頭中的Referer欄位，通過設定Referer黑白名單來控制訪問，防止資源被非法盜用。配置後，DCDN會根據Referer資訊，允許或拒絕訪問請求。

重要

阿里雲DCDN的Referer防盜鏈功能預設不啟用，即任何網站均可訪問您的資源。
Referer防盜鏈只是防止CDN流量盜刷的一種方式，更多防護方式參見防範流量盜刷最佳實務。
將網域名稱添加到Referer黑名單或白名單後，DCDN會將該網域名稱的泛網域名稱加入規則名單。例如，填寫aliyundoc.com，最終生效的是*.aliyundoc.com，即所有子網域名稱都會生效。

使用情境

Referer防盜鏈主要用於保護網站的資源不被其他網站直接引用或盜用，常見的使用情境包括：

著作權保護：某些網站的內容受著作權保護，Referer防盜鏈可以限制只有授權網站訪問這些內容，保護著作權。
防止熱鏈盜用：Referer防盜鏈確保資源只能在特定網站上使用，防止其他網站直接引用，減少熱鏈盜用。
提高網站安全性：Referer防盜鏈只允許特定網站訪問資源，防止惡意盜鏈、惡意訪問或盜取敏感資訊。
控制流程量來源：Referer防盜鏈限制特定網站的流量訪問，有效控制流程量來源，提高網站穩定性和安全性。

綜上所述，您可以根據需求，在不同情境中使用Referer防盜鏈功能，保護資源、提高安全性和控制流程量。

工作原理

伺服器端檢查每個請求的Referer欄位，如果Referer欄位不是來自白名單配置，就拒絕提供服務，從而節省頻寬和伺服器資源。DCDN的Referer請求規則如下：

如果瀏覽器攜帶的Referer與黑名單Referer匹配，或與白名單Referer不匹配，則DCDN將拒絕該請求的訪問。
如果瀏覽器攜帶的Referer與白名單Referer匹配，則DCDN將允許該請求的訪問。

注意事項

配置Referer防盜鏈後，黑名單中的請求仍可訪問到DCDN節點，但會被DCDN節點拒絕並返回403狀態代碼，DCDN日誌中仍會記錄用戶端的請求記錄。
由於Referer防盜鏈功能TTP要求標頭中Referer欄位（例如，Referer黑白名單）來設定存取控制規則，因此在黑名單中的請求被DCDN節點攔截的同時，會產生少量的流量費用，如果用戶端使用HTTPS協議訪問，還會產生HTTPS請求數費用（因為攔截黑名單中請求的時候，也同時消耗了DCDN節點的處理資源）。

操作步驟

登入DCDN控制台。
在左側導覽列，單擊域名管理。
在域名管理頁面，單擊目標網域名稱對應的配置。
在指定網域名稱的左側導覽列，單擊访问控制。
在Referer防盜鏈頁簽，開啟Referer防盜鏈開關。

根據業務需求，設定Referer黑名单或白名單。

配置Refer防盜鏈

參數		說明
Referer類型		黑名單黑名單內的網域名稱均無法訪問當前的資源。白名單只有白名單內的網域名稱能訪問當前資源，白名單以外的網域名稱均無法訪問當前的資源。說明黑名單和白名單互斥，同一時間您只能選擇其中一種方式。
规则		支援添加多個Referer名單，使用斷行符號符進行分隔，每個Referer名單前不能加空格符。支援使用星號（）作為萬用字元。例如，配置`.developer.aliyundoc.com`，可以匹配到`image.developer.aliyundoc.com`或`video.developer.aliyundoc.com`等。說明 Referer防盜鏈規則的總長度最長不超過60 KB。
重新導向URL		請求被攔截後返回302+Location頭，該項為Location頭的值，必須以`http://`或者`https://`開頭，例如：`http://www.example.com`。
進階配置	允许通过浏览器地址栏直接访问资源URL	系統預設未勾選。當勾選該選項時，無論配置的是Referer黑名單還是白名單，系統不攔截空Referer請求，DCDN節點都將允許使用者訪問當前的資源。空Referer包括兩種情況：使用者請求中不攜帶Referer頭。使用者請求中攜帶了Referer頭，但值為空白。
	精確匹配	預設未勾選。勾選後，不再支援萬用字元（*）預設。若未使用萬用字元，`example.com`僅匹配`example.com`。
	忽略scheme	未勾選忽略scheme時，要求標頭中Referer必須攜帶HTTP或HTTPS協議頭。勾選忽略scheme後，要求標頭中Referer可不攜帶HTTP或HTTPS協議頭。

單擊確定，完成配置。

Referer匹配邏輯

通過以下名單配置為例，闡述Referer頭部的匹配邏輯。如果一個請求未匹配白名單或者匹配了黑名單，DCDN會拒絕請求並返回403狀態代碼。

名單配置	使用者請求中的Referer值	匹配結果	匹配邏輯說明
www.example.com *.example.com	http://www.example.com/img.jpg	是	Referer頭部中的網域名稱匹配名單。
	http://www.example.com:80/img.jpg	是	Referer頭部中的網域名稱匹配名單。
	www.example.com	否	請求中的Referer沒有帶上HTTP或HTTPS協議頭部。
	http://aaa.example.com	是	Referer頭部中的多級網域名稱匹配名單中的泛網域名稱條目。泛網域名稱包含多級網域名稱。
	http://aaa.bbb.example.com	是	Referer頭部中的多級網域名稱匹配名單中的泛網域名稱條目。泛網域名稱包含多級網域名稱。
	http://example.com	否	Referer頭部中的次層網域不匹配名單中的泛網域名稱條目。原因是泛網域名稱不包含次層網域本身。
	http://www.example.net	不匹配任何規則	既未匹配白名單，也未匹配黑名單，按照預設策略處理，允許訪問。

常見問題

請求中的Referer欄位不是應該預設內建HTTP或HTTPS協議頭部嗎，為什麼還會出現沒有帶上HTTP或HTTPS協議頭部的情況？

一般情況下，使用者請求中的Referer應該是帶有HTTP或HTTPS協議頭部的。然而，在某些情況下，可能會出現沒有帶上HTTP或HTTPS協議頭部的Referer的情況。

一種常見的情況是當使用者從一個不安全的網站（即未使用HTTP加密）跳轉到一個使用HTTPS協議的網站時，瀏覽器可能會根據安全性原則（如Referrer-Policy）修改或去除Referer欄位，以保護使用者資料的安全性。這種情況下，Referer欄位只會包含網域名稱部分，不包含協議頭部。

另外，某些瀏覽器或Proxy 伺服器可能會在特定情況下自動去除Referer欄位，例如在隱私保護模式下或通過匿名代理訪問網站時。

因此，在實際應用中，需要注意處理請求中Referer欄位可能沒有帶上HTTP或HTTPS協議頭部的情況，以確保正確判斷和使用Referer資訊。

為什麼會出現空Referer，對於此類請求應該怎麼處理？

空Referer（也稱為Referer頭為空白）是指在HTTP請求中缺失了Referer要求標頭部的情況。請求中的Referer頭通常包含完整的URI，其中包括協議（如 http 或 https）、主機名稱，可能還包括路徑和查詢字串等。空Referer可能出現的原因：

直接存取：使用者直接通過瀏覽器地址欄輸入網址、或通過書籤訪問、或開啟一個新的空白標籤頁時，都沒有來源網頁，因此Referer頭為空白。
使用者隱私：使用者或使用者使用的軟體（比如瀏覽器延伸或隱私模式）可能出於隱私保護考慮故意去除Referer頭。
安全性通訊協定：從HTTPS頁面跳轉到HTTP頁面的時候，為了安全起見，避免敏感資訊泄露，瀏覽器通常不會發送Referer頭。
用戶端策略：一些網站或應用程式可能出於安全考慮，通過設定<meta> 標籤或者HTTP頭（如Referrer-Policy）控制Referer的發送。
跨域請求：某些跨域請求可能因瀏覽器的安全性原則而不攜帶Referer頭。

對於帶有空Referer的請求，處理方式取決於具體應用情境和安全要求。以下是一些處理建議：

預設策略：如果您的服務不需要依賴Referer資訊來作出決策，那麼可以允許帶有空Referer的請求。
允許訪問：對於特定的URL或源，您可以勾選允许通过浏览器地址栏直接访问资源URL選項，只允許來自這些來源的請求，即使Referer為空白，DCDN節點都將允許使用者訪問當前的資源。