通過設定Referer防盜鏈規則來避免網站被惡意盜刷 - ApsaraVideo VOD

Referer防盜鏈，是基於HTTP要求標頭中Referer欄位（例如，Referer黑白名單）來設定存取控制規則，實現對訪客的身份識別和過濾，防止網站資源被非法盜用。配置Referer黑白名單後，CDN會根據名單識別請求身份，允許或拒絕訪問請求。允許訪問請求，CDN會返回資源連結；拒絕訪問請求，CDN會返回403響應碼。本文為您介紹如何配置Referer防盜鏈。

重要

ApsaraVideo for VOD中Referer防盜鏈功能預設不啟用，表示任何網站均可訪問您的資源。
將網域名稱添加到Referer黑名單或白名單後，CDN會將該網域名稱的泛網域名稱加入規則名單。例如，填寫aliyundoc.com，最終生效的是*.aliyundoc.com，即所有子網域名稱都會生效。
當網域名稱在進行Range請求時，由於Range第二次請求的時候會被瀏覽器加上Referer頭，因此需要對該網域名稱Referer防盜鏈設定為白名單。
啟用ApsaraVideo for VOD的Referer防盜鏈功能後，如需在阿里雲官方網站的ApsaraVideo for VOD控制台播放預覽視頻，則可以在Referer白名單配置中增加網域名稱vod.console.alibabacloud.com。

Referer圖解

Referer是使用者從一個網站跳轉到另一個網站時，記錄的第一個網站的URL資訊，即表示當前頁面是通過哪個頁面跳轉過來的。具體由協議、網域名稱、路徑、查詢參數組成，如下圖所示。

說明

Referer本質上就是一個URL，即請求連結。
阿里雲支援僅網域名稱形式的Referer配置，通過勾選忽略scheme實現。

使用情境

Referer黑/白名單主要用於保護網站的資源不被其他網站直接引用或盜用，常見的使用情境包括：

著作權保護：某些網站的內容受著作權保護，Referer黑/白名單可以限制只有授權網站訪問這些內容，保護著作權。
防止熱鏈盜用：Referer黑/白名單確保資源只能在特定網站上使用，防止其他網站直接引用，減少熱鏈盜用。
提高網站安全性：Referer黑/白名單只允許特定網站訪問資源，防止惡意盜鏈、惡意訪問或盜取敏感資訊。
控制流程量來源：Referer黑/白名單限制特定網站的流量訪問，有效控制流程量來源，提高網站穩定性和安全性。

綜上所述，您可以根據需求，在不同情境中使用Referer黑/白名單功能，保護資源、提高安全性和控制流程量。

工作原理

伺服器端檢查每個請求的Referer欄位，如果Referer欄位不是來自白名單配置，就拒絕提供服務，從而節省頻寬和伺服器資源。CDN的Referer請求規則如下：

如果瀏覽器攜帶的Referer與黑名單Referer匹配，或與白名單Referer不匹配，則CDN將拒絕該請求的訪問。
如果瀏覽器攜帶的Referer與白名單Referer匹配，則CDN將允許該請求的訪問。

操作步驟

登入ApsaraVideo for VOD控制台。
在點播控制台左側導覽列的配置管理地區，單擊分发加速配置 > 域名管理，進入網域名稱管理頁面。
在域名管理頁面，找到目標網域名稱，單擊操作列的配置。
在指定網域名稱的左側導覽列，單擊访问控制。
在Referer防盜鏈頁簽，單擊修改配置。

根據業務需求，設定Referer黑名单或白名单。

參數	說明
Refer类型	黑名单攜帶黑名單Referer的請求均無法訪問當前資源。白名单只有攜帶白名單Referer的請求才能訪問當前資源。說明黑名單和白名單互斥，只能選擇一種。
规则	支援添加多個Referer名單，使用斷行符號符分隔。支援星號（）作為萬用字元，匹配所有子網域名稱。如`.example.com`匹配`example.com`的所有子網域名稱。支援萬用字元（）預設，匹配自身及其所有子網域名稱。如`example.com`匹配`example.com`和`.example.com`結果集。說明 Referer黑/白名單規則的總長度最長不超過60 KB。配置規則不需要填寫協議頭。
重新導向URL	請求被攔截後返回302+Location頭，該項為Location頭的值，必須以`http://`或者`https://`開頭，例如：`http://www.example.com`。
高级配置
允许通过浏览器地址栏直接访问资源URL	預設未勾選。勾選後，無論配置的是Referer黑名單還是白名單，系統不攔截空Referer請求，CDN節點允許使用者訪問當前資源。使用者請求中不攜帶Referer頭。 Referer頭值為空白。
精確匹配	預設未勾選。勾選後，不再支援萬用字元（*）預設。若未使用萬用字元，`example.com`僅匹配`example.com`。
忽略scheme	未勾選忽略scheme時，要求標頭中Referer必須攜帶HTTP或HTTPS協議頭。勾選忽略scheme後，要求標頭中Referer可不攜帶HTTP或HTTPS協議頭。

單擊確定，完成配置。

Referer匹配邏輯

通過以下名單配置為例，闡述Referer頭部的匹配邏輯。如果一個請求未匹配白名單或者匹配了黑名單，CDN會拒絕請求並返回403狀態代碼。

名單配置	使用者請求中的Referer值	匹配結果	匹配邏輯說明
www.example.com *.example.com	http://www.example.com/img.jpg	是	Referer頭部中的網域名稱匹配名單。
	http://www.example.com:80/img.jpg	是	Referer頭部中的網域名稱匹配名單。
	www.example.com	見匹配邏輯說明	如果未勾選忽略scheme，結果是不匹配。原因是使用者請求中的Referer沒有帶上HTTP或HTTPS協議頭部。如果勾選忽略scheme，結果是匹配。
	http://aaa.example.com	是	無論是否勾選精確匹配，結果均為匹配。
	http://aaa.bbb.example.com	見匹配邏輯說明	如果未勾選精確匹配，結果是匹配。原因是Referer規則列表填寫了`.example.com`，Referer頭部中的多級網域名稱匹配名單中的泛網域名稱條目。泛網域名稱包含多級網域名稱。如果勾選精確匹配，結果是不匹配。原因是Referer規則列表填寫了`.example.com`，僅匹配次層網域，不匹配第三層網域名。
	http://example.com	否	Referer頭部中的次層網域不匹配名單中的泛網域名稱條目。原因是泛網域名稱不包含次層網域本身。
	http://www.example.net	不匹配任何規則	既未匹配白名單，也未匹配黑名單，按照預設策略處理，允許訪問。

常見問題

請求中的Referer欄位不是應該預設內建HTTP或HTTPS協議頭部嗎，為什麼還會出現沒有帶上HTTP或HTTPS協議頭部的情況？

一般情況下，使用者請求中的Referer應該是帶有HTTP或HTTPS協議頭部的。然而，在某些情況下，可能會出現沒有帶上HTTP或HTTPS協議頭部的Referer的情況。

一種常見的情況是當使用者從一個不安全的網站（即未使用HTTP加密）跳轉到一個使用HTTPS協議的網站時，瀏覽器可能會根據安全性原則（如Referrer-Policy）修改或去除Referer欄位，以保護使用者資料的安全性。這種情況下，Referer欄位只會包含網域名稱部分，不包含協議頭部。

另外，某些瀏覽器或Proxy 伺服器可能會在特定情況下自動去除Referer欄位，例如在隱私保護模式下或通過匿名代理訪問網站時。

因此，在實際應用中，需要注意處理請求中Referer欄位可能沒有帶上HTTP或HTTPS協議頭部的情況，以確保正確判斷和使用Referer資訊。

為什麼會出現空Referer，對於此類請求應該怎麼處理？

空Referer（也稱為Referer頭為空白）是指在HTTP請求中缺失了Referer要求標頭部的情況。請求中的Referer頭通常包含完整的URI，其中包括協議（如 http 或 https）、主機名稱，可能還包括路徑和查詢字串等。空Referer可能出現的原因：

直接存取：使用者直接通過瀏覽器地址欄輸入網址、或通過書籤訪問、或開啟一個新的空白標籤頁時，都沒有來源網頁，因此Referer頭為空白。
使用者隱私：使用者或使用者使用的軟體（比如瀏覽器延伸或隱私模式）可能出於隱私保護考慮故意去除Referer頭。
安全性通訊協定：從HTTPS頁面跳轉到HTTP頁面的時候，為了安全起見，避免敏感資訊泄露，瀏覽器通常不會發送Referer頭。
用戶端策略：一些網站或應用程式可能出於安全考慮，通過設定<meta> 標籤或者HTTP頭（如Referrer-Policy）控制Referer的發送。
跨域請求：某些跨域請求可能因瀏覽器的安全性原則而不攜帶Referer頭。

對於帶有空Referer的請求，處理方式取決於具體應用情境和安全要求。以下是一些處理建議：

預設策略：如果您的服務不需要依賴Referer資訊來作出決策，那麼可以允許帶有空Referer的請求。
允許訪問：對於特定的URL或源，您可以勾選允许通过浏览器地址栏直接访问资源URL選項，只允許來自這些來源的請求，即使Referer為空白，CDN節點都將允許使用者訪問當前的資源。