CDN盗刷解决方案之referer拦截

空Referer进行JS挑战

1. 在ESA控制台，选择站点管理，在站点列单击目标站点。

2. 在左侧导航栏，选择安全防护 > WAF。

3. 单击自定义规则页签，进入自定义规则页签，单击新增规则。

   • 填写规则名称。

   • 在如果请求匹配以下规则...区域设置要匹配的用户请求特征，请求匹配规则参见规则表达式的组成。

   • 在则执行…区域设置当请求命中该规则时，要执行的防护动作，详细信息请参见执行动作说明。

4. 单击确定。

• 匹配规则的位置，点击编辑表达式，在输入框中输入：(exists(http.referer) and len(http.referer) lt 1 and http.host eq "xxxxxx.aliyun.com") or (not exists(http.referer) and http.host eq "xxxxxx.aliyun.com") 其中xxxxxx.aliyun.com替换成实际需要配置的域名

• 执行配置调整成JS挑战

空Referer拦截

• 场景一：业务不允许任何空Referer请求 在ESA中配置WAF自定义规则，拦截所有空Referer请求。 配置路径：站点 > 安全防护 > WAF > 自定义规则。

  表达式为：(exists(http.referer) and len(http.referer) lt 1) or (not exists(http.referer))

  

• 场景二：业务需要允许部分空Referer请求（例如首页访问） 配置WAF规则拦截空Referer请求，同时添加白名单规则放行特定路径（如首页）。操作步骤如下：

  1. 配置自定义规则拦截空Referer 配置路径：站点 > 安全防护 > WAF > 自定义规则。

     

  2. 配置白名单规则放行特定路径（此处以首页为例） 配置路径：站点 > 安全防护 > WAF > 白名单规则。

     表达式为：(http.host in {"your hostname"} and http.request.uri in {"/"})

Referer黑名单

1. 登录CDN控制台。

2. 在左侧导航栏，单击域名管理。

3. 在域名管理页面，找到目标域名，单击操作列的管理。

4. 在指定域名的左侧导航栏，单击访问控制。

5. 在Referer黑/白名单页签，单击修改配置。

6. Referer类型选择黑名单，在规则中填写非法的Referer名单，勾选忽略scheme。

7. 根据业务情况决定是否勾选 允许空Referer。

   • 勾选（允许）：如果您的用户会直接访问网站，或者您的移动App需要访问资源，必须勾选此项，否则会误伤正常用户。

   • 不勾选（禁止）：如果您的资源（如图片）只应被您自己的网页引用，且没有直接访问的场景，可以不勾选以增强防护。

8. 单击确定，完成配置。

边缘脚本拦截

如果需要在特定URL路径下执行复杂的Referer拦截逻辑，可以使用EdgeScript。

1. 登录CDN控制台。

2. 在左侧导航栏，单击域名管理。

3. 在域名管理页面，找到目标域名，单击操作列的管理。

4. 单击EdgeScript自定义策略。

5. 在模拟环境页签，单击添加规则，配置边缘脚本规则。

   在规则代码中编写逻辑，打开启用状态。例如，仅当访问/videos/目录下的资源且Referer来自bad-domain.com时才拦截。

   if and(match_re($uri, '/videos/'), match_re($http_referer, 'bad-domain.com')) {
       exit(403)
   }

6. 单击发布到模拟环境，在模拟环境中，测试规则。

7. 测试完成后，单击发布所有规则到生产环境，将模拟环境规则发布至生产环境。

   重要

   模拟环境规则发布到生产环境后，模拟环境的规则自动被清空。