OSS支持对云盒Bucket设置防盗链,即通过对访问来源设置白名单的机制,避免OSS资源被其他人盗用。
使用OSS控制台
登录OSS管理控制台。
在左侧导航栏,选择数据服务 > 云盒Bucket,然后在Bucket列表中单击目标Bucket。
在左侧导航栏,选择数据安全 > 防盗链。
在防盗链页面,打开防盗链开关。
在白名单 Referer,输入以下内容。
通过控制台设置多个Referer时使用回车作为换行符分隔。
https://www.aliyun.com http://www.aliyun.com关于Referer的配置规范,请参见Referer配置规范。
黑名单 Referer,保持为空。
重要黑白名单同时存在时,OSS会先判断黑名单,再判断白名单。具体判断流程,请参见防盗链。
在空 Referer区域,选择允许。
允许:表示允许请求中不带Referer或Referer为空。
不允许:表示请求中必须携带Referer且Referer值不能为空。设置不允许空Referer后,无法在浏览器中直接输入URL访问OSS文件。
在截断 QueryString区域,选择允许。
允许:OSS匹配该Referer时默认截断QueryString。例如Referer设置为
http://www.example.com/?action=nop,OSS匹配该Referer时默认截断QueryString,即使用http://www.example.com/进行匹配。不允许:OSS匹配该Referer时不截断QueryString。例如Referer设置为
http://www.example.com/?action=nop,OSS会使用http://www.example.com/?action=nop进行匹配。关于QueryString的解析规则,请参见QueryString解析规则。
单击保存。
使用阿里云SDK
仅支持通过Java SDK设置防盗链,Java SDK要求3.15.0及以上版本。
import com.aliyun.oss.ClientException;
import com.aliyun.oss.OSS;
import com.aliyun.oss.OSSClientBuilder;
import com.aliyun.oss.OSSException;
import com.aliyun.oss.model.BucketReferer;
import java.util.ArrayList;
import java.util.List;
import com.aliyun.oss.common.auth.DefaultCredentialProvider;
import com.aliyun.oss.common.comm.SignVersion;
import com.aliyun.oss.ClientBuilderConfiguration;
import com.aliyun.oss.common.auth.CredentialsProviderFactory;
import com.aliyun.oss.common.auth.EnvironmentVariableCredentialsProvider;
public class Demo {
public static void main(String[] args) throws Exception {
// 填写云盒Bucket的数据域名。
String endpoint = "https://cb-f8z7yvzgwfkl9q0h****.cn-hangzhou.oss-cloudbox.aliyuncs.com";
// 从环境变量中获取访问凭证。运行本代码示例之前,请确保已设置环境变量OSS_ACCESS_KEY_ID和OSS_ACCESS_KEY_SECRET。
EnvironmentVariableCredentialsProvider credentialsProvider = CredentialsProviderFactory.newEnvironmentVariableCredentialsProvider();
// 填写云盒Bucket名称,例如examplebucket。
String bucketName = "examplebucket";
// 填写云盒Bucket所在地域。
String region = "cn-hangzhou";
// 填写云盒ID。
String cloudBoxId = "cb-f8z7yvzgwfkl9q0h****";
// 创建OSSClient实例。
ClientBuilderConfiguration conf = new ClientBuilderConfiguration();
conf.setSignatureVersion(SignVersion.V4);
OSS ossClient = OSSClientBuilder.create()
.endpoint(endpoint)
.credentialsProvider(new DefaultCredentialProvider(credentialsProvider.getCredentials()))
.clientConfiguration(conf)
.region(region)
.cloudBoxId(cloudBoxId)
.build();
try {
List<String> refererList = new ArrayList<String>();
// 添加Referer白名单。Referer参数支持通配符星号(*)和问号(?)。
refererList.add("http://www.aliyun.com");
refererList.add("http://www.*.com");
refererList.add("http://www.?.aliyuncs.com");
// 设置Referer列表。设置为true表示Referer字段允许为空,设置为false表示Referer字段不允许为空。
BucketReferer br = new BucketReferer(true, refererList);
ossClient.setBucketReferer(bucketName, br);
} catch (OSSException oe) {
System.out.println("Caught an OSSException, which means your request made it to OSS, "
+ "but was rejected with an error response for some reason.");
System.out.println("Error Message:" + oe.getErrorMessage());
System.out.println("Error Code:" + oe.getErrorCode());
System.out.println("Request ID:" + oe.getRequestId());
System.out.println("Host ID:" + oe.getHostId());
} catch (ClientException ce) {
System.out.println("Caught an ClientException, which means the client encountered "
+ "a serious internal problem while trying to communicate with OSS, "
+ "such as not being able to access the network.");
System.out.println("Error Message:" + ce.getMessage());
} finally {
if (ossClient != null) {
ossClient.shutdown();
}
}
}
}使用命令行工具ossutil
通过ossutil设置多个Referer时,使用半角逗号(,)分隔。
关于使用ossutil设置防盗链的具体操作, 请参见referer(防盗链)。
使用REST API
通过REST API设置多个Referer时,使用半角逗号(,)分隔。
如果您的程序自定义要求较高,您可以直接发起REST API请求。直接发起REST API请求需要手动编写代码计算签名。更多信息,请参见PutBucketReferer。