设置防盗链

背景信息

防盗链功能通过设置Referer白名单，限制仅白名单中的域名可以访问您Bucket内的资源。OSS支持基于HTTP和HTTPS Header中表头字段Referer的方法设置防盗链。

仅当通过签名URL或者匿名访问Object时，进行防盗链验证；当请求的Header中包含Authorization字段，不进行防盗链验证。

关于防盗链的API接口说明，请参见PutBucketReferer。关于防盗链的更多信息，请参见防盗链。

操作步骤

1. 登录OSS管理控制台。
2. 单击Bucket列表，然后单击目标Bucket名称。
3. 在左侧导航栏，选择权限管理 > 防盗链。
4. 在防盗链区域，单击设置。
   • 在Referer输入框中，填写域名或IP地址，支持通配符星号（*）和问号（?），多个Referer以换行分隔。示例如下：
     • 配置为www.aliyun.com，可匹配如www.aliyun.com/123、www.aliyun.com.cn等以www.aliyun.com为前缀的地址。
     • 通配符星号（*）表示使用星号代替0个或多个字符。例如配置为*www.aliyun.com/，可匹配如http://www.aliyun.com/和https://www.aliyun.com/地址。配置为*.aliyun.com，可匹配如help.aliyun.com、www.aliyun.com等地址。
     • 通配符问号（?）表示使用问号代替一个字符。
     • 支持带端口的域名或IP地址，例如www.example.com:8080、10.10.10.10:8080等地址。
   • 在空Referer区域，选择是否允许Referer为空。

     空Referer表示HTTP或HTTPS请求中，不带Referer字段或Referer字段为空。

     如果不允许空Referer，则只有HTTP或HTTPS Header中包含Referer字段的请求才能访问OSS资源。

     说明 当您使用OSS的Bucket域名（如bucketname.oss-cn-zhangjiakou.aliyuncs.com）预览MP4文件时，由于浏览器默认会同时发出两个请求，其中一个为带Referer的请求，另一个为空Referer的请求，因此设置防盗链时必须同时满足在Referer中添加Bucket域名，且允许空Referer的条件。当您使用OSS的Bucket域名预览非MP4文件时，则仅需允许空Referer。
   • 在截断QueryString区域，选择是否允许截断QueryString。
5. 单击保存。

更多参考

• 当您需要限定符合特定条件的用户能够访问您Bucket内的全部或部分资源、对资源授予相关操作权限等，建议您使用Bucket Policy。例如您可以通过配置Bucket Policy的来源IP，限制符合指定IP或IP地址段的用户才能访问某个Bucket。关于配置Bucket Policy的具体操作，请参见通过Bucket Policy授权用户访问指定资源。
• 关于验证防盗链是否生效的更多信息，请参见OSS验证防盗链是否生效。
• 关于使用防盗链过程中遇到的常见问题，请参见OSS防盗链（Referer）配置及错误排除。