通过设置Referer防盗链规则来避免网站被恶意盗刷 - 边缘安全加速

Referer防盗链基于HTTP请求头中的Referer字段，通过设置Referer黑白名单来控制访问，防止资源被非法盗用。配置后，DCDN会根据Referer信息，允许或拒绝访问请求。

重要

阿里云DCDN的Referer防盗链功能默认不启用，即任何网站均可访问您的资源。
Referer防盗链只是防止CDN流量盗刷的一种方式，更多防护方式参见防范流量盗刷最佳实践。
将域名添加到Referer黑名单或白名单后，DCDN会将该域名的泛域名加入规则名单。例如，填写aliyundoc.com，最终生效的是*.aliyundoc.com，即所有子域名都会生效。

使用场景

Referer防盗链主要用于保护网站的资源不被其他网站直接引用或盗用，常见的使用场景包括：

版权保护：某些网站的内容受版权保护，Referer防盗链可以限制只有授权网站访问这些内容，保护版权。
防止热链盗用：Referer防盗链确保资源只能在特定网站上使用，防止其他网站直接引用，减少热链盗用。
提高网站安全性：Referer防盗链只允许特定网站访问资源，防止恶意盗链、恶意访问或盗取敏感信息。
控制流量来源：Referer防盗链限制特定网站的流量访问，有效控制流量来源，提高网站稳定性和安全性。

综上所述，您可以根据需求，在不同场景中使用Referer防盗链功能，保护资源、提高安全性和控制流量。

工作原理

服务器端检查每个请求的Referer字段，如果Referer字段不是来自白名单配置，就拒绝提供服务，从而节省带宽和服务器资源。DCDN的Referer请求规则如下：

如果浏览器携带的Referer与黑名单Referer匹配，或与白名单Referer不匹配，则DCDN将拒绝该请求的访问。
如果浏览器携带的Referer与白名单Referer匹配，则DCDN将允许该请求的访问。

注意事项

配置Referer防盗链后，黑名单中的请求仍可访问到DCDN节点，但会被DCDN节点拒绝并返回403状态码，DCDN日志中仍会记录客户端的请求记录。
由于Referer防盗链功能TTP请求头中Referer字段（例如，Referer黑白名单）来设置访问控制规则，因此在黑名单中的请求被DCDN节点拦截的同时，会产生少量的流量费用，如果客户端使用HTTPS协议访问，还会产生HTTPS请求数费用（因为拦截黑名单中请求的时候，也同时消耗了DCDN节点的处理资源）。

操作步骤

登录DCDN控制台。
在左侧导航栏，单击域名管理。
在域名管理页面，单击目标域名对应的配置。
在指定域名的左侧导航栏，单击访问控制。
在Referer防盗链页签，打开Referer防盗链开关。

根据业务需求，设置Referer黑名单或白名单。

配置Refer防盗链

参数		说明
Referer类型		黑名单黑名单内的域名均无法访问当前的资源。白名单只有白名单内的域名能访问当前资源，白名单以外的域名均无法访问当前的资源。说明黑名单和白名单互斥，同一时间您只能选择其中一种方式。
规则		支持添加多个Referer名单，使用回车符进行分隔，每个Referer名单前不能加空格符。支持使用星号（）作为通配符。例如，配置`.developer.aliyundoc.com`，可以匹配到`image.developer.aliyundoc.com`或`video.developer.aliyundoc.com`等。说明 Referer防盗链规则的总长度最长不超过60 KB。
重定向URL		请求被拦截后返回302+Location头，该项为Location头的值，必须以`http://`或者`https://`开头，例如：`http://www.example.com`。
高级配置	允许通过浏览器地址栏直接访问资源URL	系统默认未勾选。当勾选该选项时，无论配置的是Referer黑名单还是白名单，系统不拦截空Referer请求，DCDN节点都将允许用户访问当前的资源。空Referer包括两种情况：用户请求中不携带Referer头。用户请求中携带了Referer头，但值为空。
	精确匹配	默认未勾选。勾选后，不再支持通配符（*）缺省。若未使用通配符，`example.com`仅匹配`example.com`。
	忽略scheme	未勾选忽略scheme时，请求头中Referer必须携带HTTP或HTTPS协议头。勾选忽略scheme后，请求头中Referer可不携带HTTP或HTTPS协议头。

单击确定，完成配置。

Referer匹配逻辑

通过以下名单配置为例，阐述Referer头部的匹配逻辑。如果一个请求未匹配白名单或者匹配了黑名单，DCDN会拒绝请求并返回403状态码。

名单配置	用户请求中的Referer值	匹配结果	匹配逻辑说明
www.example.com *.example.com	http://www.example.com/img.jpg	是	Referer头部中的域名匹配名单。
	http://www.example.com:80/img.jpg	是	Referer头部中的域名匹配名单。
	www.example.com	否	请求中的Referer没有带上HTTP或HTTPS协议头部。
	http://aaa.example.com	是	Referer头部中的多级域名匹配名单中的泛域名条目。泛域名包含多级域名。
	http://aaa.bbb.example.com	是	Referer头部中的多级域名匹配名单中的泛域名条目。泛域名包含多级域名。
	http://example.com	否	Referer头部中的二级域名不匹配名单中的泛域名条目。原因是泛域名不包含二级域名本身。
	http://www.example.net	不匹配任何规则	既未匹配白名单，也未匹配黑名单，按照默认策略处理，允许访问。

常见问题

请求中的Referer字段不是应该默认自带HTTP或HTTPS协议头部吗，为什么还会出现没有带上HTTP或HTTPS协议头部的情况？

一般情况下，用户请求中的Referer应该是带有HTTP或HTTPS协议头部的。然而，在某些情况下，可能会出现没有带上HTTP或HTTPS协议头部的Referer的情况。

一种常见的情况是当用户从一个不安全的网站（即未使用HTTP加密）跳转到一个使用HTTPS协议的网站时，浏览器可能会根据安全策略（如Referrer-Policy）修改或去除Referer字段，以保护用户数据的安全性。这种情况下，Referer字段只会包含域名部分，不包含协议头部。

另外，某些浏览器或代理服务器可能会在特定情况下自动去除Referer字段，例如在隐私保护模式下或通过匿名代理访问网站时。

因此，在实际应用中，需要注意处理请求中Referer字段可能没有带上HTTP或HTTPS协议头部的情况，以确保正确判断和使用Referer信息。

为什么会出现空Referer，对于此类请求应该怎么处理？

空Referer（也称为Referer头为空）是指在HTTP请求中缺失了Referer请求头部的情况。请求中的Referer头通常包含完整的URI，其中包括协议（如 http 或 https）、主机名，可能还包括路径和查询字符串等。空Referer可能出现的原因：

直接访问：用户直接通过浏览器地址栏输入网址、或通过书签访问、或打开一个新的空白标签页时，都没有来源网页，因此Referer头为空。
用户隐私：用户或用户使用的软件（比如浏览器扩展或隐私模式）可能出于隐私保护考虑故意去除Referer头。
安全协议：从HTTPS页面跳转到HTTP页面的时候，为了安全起见，避免敏感信息泄露，浏览器通常不会发送Referer头。
客户端策略：一些网站或应用程序可能出于安全考虑，通过设置<meta> 标签或者HTTP头（如Referrer-Policy）控制Referer的发送。
跨域请求：某些跨域请求可能因浏览器的安全策略而不携带Referer头。

对于带有空Referer的请求，处理方式取决于具体应用场景和安全要求。以下是一些处理建议：

默认策略：如果您的服务不需要依赖Referer信息来作出决策，那么可以允许带有空Referer的请求。
允许访问：对于特定的URL或源，您可以勾选允许通过浏览器地址栏直接访问资源URL选项，只允许来自这些来源的请求，即使Referer为空，DCDN节点都将允许用户访问当前的资源。