云存储如何管理CDN配置_移动研发平台(EMAS)-阿里云帮助中心

EMAS Serverless支持CDN配置，通过设置跨域校验、URL鉴权、Referer防盗链、IP黑/白名单、UA黑/白名单来实现对访客身份的识别和过滤，从而限制访问CDN资源的用户，提升CDN的安全性。

操作步骤

登录EMAS管理控制台。
查找您的项目，单击项目，进入EMAS概览页。
在顶部导航栏，选择平台服务。
在左侧导航栏，选择EMAS Serverless > 云存储。
单击CDN配置页签。
单击编辑配置，可对跨域校验、URL鉴权、Referer防盗链、IP黑/白名单、UA黑/白名单进行配置。
配置完成后，单击保存。

配置跨域校验

跨域校验是指需要跨域共享或者访问资源时，您可以通过指定跨域规则来实现。

参数	说明
跨域规则	设置为“”，不论用户请求里面是否携带“Origin”参数，也不论携带的“Origin”参数为何值，都固定返回“Access-Control-Allow-Origin:”。跨域资源共享的响应头值设置了单个或者多个值（多个值之间用“,”分隔）。如果用户请求头里携带的“Origin”参数值与被设置的任意一个值精确匹配，就会响应对应的跨域头。如果都没有精确匹配上，则不响应跨域头。设置为通配符域名，则会校验请求头中Origin值是否能匹配上。
跨域验证	开启：开启状态下CDN节点将按跨域规则对用户做跨域校验，并根据校验结果响应“Access-Control-Allow-Origin”的值。关闭：关闭状态下CDN节点不会校验用户请求中携带的Origin头，只会固定响应已配置的Access-Control-Allow-Origin值。说明跨域验证为开启状态下，如果响应头值中的域名包含短划线`-`，需要对短划线做转义处理后再配置，将`-`转义为`%-`。例如：原始响应头值：`http://doc.aliyun-example.com`。转义后的响应头值：`http://doc.aliyun%-example.com`

配置URL鉴权

URL鉴权是指用户按照指定的签名方式对于特定的URL增加鉴权认证，您可以通过自行配置校验鉴权URL中的加密串和时间戳，保护用户站点的资源不被非法站点下载盗用。URL鉴权比Referer防盗链安全性更高，适合于安全密级较高的文件。

说明

鉴权的原理请参见CDN文档。
您可以按照鉴权方式完成计算签名计算，也可以直接通过管控API ListFile或者客户端SDK file.info接口直接获取计算好的签名链接。

参数	说明
鉴权类型	阿里云CDN提供了3种鉴权签名计算方式。您可以根据访问加密URL格式，选择合适的鉴权方式，实现对源站资源的有效保护。URL鉴权类型如下：鉴权方式A说明鉴权方式B说明鉴权方式C说明说明 URL鉴权错误会返回403报错： MD5计算类错误例如：`X-Tengine-Error:denied by req auth: invalid md5hash=de7bfdc915ced05e17380a149bd760be` 时间类报错例如：`X-Tengine-Error:denied by req auth: expired timestamp=1439469547`
密钥	用于参与鉴权签名计算的密钥。
鉴权URL有效时长	CDN配置的鉴权URL有效时长，用户可在有效时间区间内访问CDN，超出该区间，鉴权失效。单位：秒取值范围：1~31536000 默认值：1800（30分钟）示例：例如签算服务器生成鉴权URL的时间（timestamp）为2020-08-15 15:00:00（UTC+8），CDN上鉴权URL有效时长为1800秒，则鉴权URL失效时间为2020-08-15 15:30:00（UTC+8）。

配置Referer防盗链

您可以通过配置访问请求来源的域名（即Referer黑名单和白名单），实现对访客身份的识别和过滤，限制访问CDN资源的用户，禁止其他网站引用您的资源链接。

说明

更多详情请参见：Referer防盗链。

参数		说明
Referer类型		黑名单黑名单内的域名均无法访问当前的资源。白名单只有白名单内的域名能访问当前资源，白名单以外的域名均无法访问当前的资源。说明黑名单和白名单互斥，同一时间您只能选择其中一种方式。
规则		支持添加多个Referer名单，使用回车符进行分隔。支持使用星号（）作为通配符。例如，配置`.developer.aliyundoc.com`，可以匹配到`image.developer.aliyundoc.com`或`video.developer.aliyundoc.com`等。说明 Referer防盗链规则的总长度最长不超过60 KB。
高级配置	允许通过浏览器地址栏直接访问资源URL	当勾选该选项时，无论配置的是Referer黑名单还是白名单，请求Referer字段为空或无Referer字段（例如浏览器请求），CDN节点都将允许用户访问当前的资源。
	精确匹配	白名单：使用精确匹配模式，控制“白名单列表”项中填写的域名是否为精确匹配。勾选精确匹配时：支持精确匹配。白名单列表填写`example.com`，匹配`example.com`。白名单列表填写`ab.example.com`，匹配`a<任意字符>b.example.com`。不支持后缀匹配。未勾选精确匹配时：不支持精确匹配。支持后缀匹配。白名单列表填写`example.com`，匹配`example.com`和`<任意字符>.example.com`。白名单列表填写`ab.example.com`，匹配`a<任意字符>b.example.com`和`<任意字符>.a<任意字符>b.example.com`。黑名单：使用精确匹配模式，控制“黑名单列表”项中填写的域名是否为精确匹配。勾选精确匹配时：支持精确匹配。黑名单列表填写`example.com`，匹配`example.com`。黑名单列表填写`ab.example.com`，匹配`a<任意字符>b.example.com`。不支持后缀匹配。未勾选精确匹配时：不支持精确匹配。支持后缀匹配。黑名单列表填写`example.com`，匹配`example.com`和`<任意字符>.example.com`。黑名单列表填写`ab.example.com`，匹配`a<任意字符>b.example.com`和`<任意字符>.a<任意字符>b.example.com`。

配置IP黑/白名单

您可以通过配置访问请求来源的IP地址（即IP黑名单和白名单），来实现对访客身份的识别和过滤，限制访问CDN资源的用户，防止恶意IP盗刷、攻击等问题。

说明

更多详情请参见：IP黑/白名单。

参数

说明

名单类型

IP名单类型如下：

黑名单
黑名单内的IP无法访问加速域名下的所有资源。
白名单
只有白名单内的IP能访问加速域名下的资源，白名单以外的IP均无法访问。

规则

输入IP段（不可重复，例如：192.168.0.0/24）或IP地址（例如192.168.0.1）。支持IPv6地址、IPv4地址，配置多个IP时使用回车符分隔。

IPv6：最多可配置约700个IPv6地址，IP黑名单和白名单均支持IPv6地址（地址中的英文字母不区分大小写，即支持全大写、全小写或大小写混合）。例如：FC00:AA3:0:23:3:300:300A:1234或fc00:0aa3:0000:0023:0003:0300:300a:1234。IPv6地址不支持::缩写格式，例如：不支持FC00:0AA3::0023:0003:0300:300A:1234。支持输入IP段，例如：FC00:0AA3:0000:0000:0000:0000:0000:0000/48。
IPv4：最多可配置约2000个IPv4地址。
IP地址字符串的总长度不能超过30 KB。

配置UA黑/白名单

User-Agent是访问请求客户端的标识，当您想指定访问的客户端时，可以通过配置User-Agent黑名单和白名单来实现对访客身份的识别和过滤，保证用户只从您允许的客户端访问。

说明

更多详情请参见：UA黑/白名单。

参数

说明

名单类型

User-Agent名单类型如下：

黑名单
HTTP请求头中的User-Agent字段命中黑名单的情况下，用户将无法访问加速域名下的所有资源。
白名单
只有HTTP请求头中的User-Agent字段命中白名单的情况下，用户才能访问加速域名下的资源。

规则

配置User-Agent字段时，用竖线（|）分割多个值，支持通配符号（*）。例如：*curl*|*IE*|*chrome*|*firefox*。

说明

如果您需要对用户请求中携带了User-Agent请求头，但是值为空的情况做访问控制，您可以使用参数this-is-empty-ua来表示User-Agent值为空。
- 白名单下：规则中包含this-is-empty-ua，表示如果用户请求中携带了User-Agent请求头，但是值为空，则允许该请求。
- 黑名单下：规则中包含this-is-empty-ua，表示如果用户请求中携带了User-Agent请求头，但是值为空，则拒绝该请求。
如果您需要对用户请求中不携带User-Agent请求头的情况做访问控制，目前UA黑白名单功能暂不支持。您可以通过边缘脚本功能来实现，具体请参见边缘脚本；或者填写信息申请后台配置。