ApsaraVideo for VOD支援通過設定Referer黑白名單、User-Agent黑白名單、IP黑白名單進行訪問限制。本文為您詳細介紹上述訪問限制相關資訊。
簡介
訪問限制是在雲端配置視頻資源的存取原則,達到基本的保護目的,具有使用門檻低(僅雲端配置不需要額外開發)、快速生效等優點,主要手段有:
Referer訪問限制:Referer黑白名單。
User-Agent訪問限制:User-Agent黑白名單。
IP訪問限制:IP黑白名單。
User-Agent訪問限制,由於配置繁瑣且存在誤操作風險,暫未開放控制台設定,如有需求,可提交工單或聯絡阿里雲商務處理。
Referer黑白名單
介紹
基於HTTP協議支援的Referer機制,通過Referer跟蹤來源,對來源進行識別和判斷,使用者可配置訪問的Referer黑、白名單(二者互斥)來限制視頻資源被訪問的情況。
支援黑名單和白名單兩種模式,訪客對資源發起請求後,請求到達CDN 節點,節點會根據使用者預設的防盜鏈黑名單或白名單進行過濾,符合規則可順利請求到視頻資料;若不符合,請求會被拒絕,並返回403響應碼。
配置後會自動添加泛網域名稱支援,例如填寫example.com,最終配置生效的是*.example.com,所有子級網域名稱都會生效。
由於移動端一般拿不到Referer,當前預設支援空Referer訪問,可選擇關閉。
具體操作,請參見防盜鏈。
樣本
設定點播網域名稱example.cn-shanghai.aliyuncs.com的Referer白名單為aliyundoc.com,且不允許空Referer訪問,請求資料:
curl -i 'http://example.cn-shanghai.aliyuncs.com/sv/5101d1f8-1643f9a****/5101d1f8-1643f9a****.mp4'
返回
當請求帶上允許的Referer後即正常返回:
curl -i 'http://example.cn-shanghai.aliyuncs.com/sv/5101d1f8-1643f9a****/5101d1f8-1643f9a****.mp4' \ -H 'Referer: http://www.aliyundoc.com'
User-Agent黑白名單
介紹
User-Agent是一個特殊字元串頭,協助服務端識別使用者使用的作業系統及版本、CPU類型、瀏覽器及版本、瀏覽器渲染引擎&語言和外掛程式等。可通過User-Agent黑白名單來限制特定瀏覽器或終端的訪問。
樣本
如PC端IE9瀏覽器:
User-Agent:Mozilla/5.0(compatible;MSIE9.0;WindowsNT6.1;Trident/5.0;
可類比HTTP請求驗證:
curl -i 'http://example.cn-shanghai.aliyuncs.com/sv/5101d1f8-1643f9a****.mp4' \ -H 'User-Agent: iPhone OS;MI 5'
IP黑白名單
ApsaraVideo for VOD支援配置IP黑名單或白名單,拒絕或只允許特定IP的訪問。
支援IP列表添加,並支援添加IP網段。
例如:網段
172.16.0.1/24
,24表示採用子網路遮罩中的前24位為有效位,即用32-24=8bit來表示主機號,該子網可以容納28-2=254台主機,故可表示IP網段範圍:172.16.0.1~172.16.0.255。可選擇優先使用remote_addr或X-Forwarded-For(XFF)作為請求端IP,或者同時匹配。
具體操作,請參見IP黑白名單。
小結
訪問限制的使用門檻很低,只需簡單配置即可使用,能起到一定的保護作用,特別是Web端。
Referer和User-Agent都是基於HTTP Header,容易被偽造,安全性低。
IP黑白名單機制,無法實現內容分發給大量C端使用者,不適合廣泛的內容消費情境,且後者在閾值範圍內也可能被非法訪問。