访问限制

视频点播支持通过设置Referer黑白名单、User-Agent黑白名单、IP黑白名单进行访问限制。本文为您详细介绍上述访问限制相关信息。

简介

访问限制是在云端配置视频资源的访问策略,达到基本的保护目的,具有使用门槛低(仅云端配置不需要额外开发)、快速生效等优点,主要手段有:

说明

User-Agent访问限制,由于配置繁琐且存在误操作风险,暂未开放控制台设置,如有需求,可提交工单或联系阿里云商务处理。

Referer黑白名单

  • 介绍

    • 基于HTTP协议支持的Referer机制,通过Referer跟踪来源,对来源进行识别和判断,用户可配置访问的Referer黑、白名单(二者互斥)来限制视频资源被访问的情况。

    • 支持黑名单和白名单两种模式,访客对资源发起请求后,请求到达CDN 节点,节点会根据用户预设的防盗链黑名单或白名单进行过滤,符合规则可顺利请求到视频数据;若不符合,请求会被拒绝,并返回403响应码。

    • 配置后会自动添加泛域名支持,例如填写example.com,最终配置生效的是*.example.com,所有子级域名都会生效。

    • 由于移动端一般拿不到Referer,当前默认支持空Referer访问,可选择关闭。

    具体操作,请参见防盗链

  • 示例

    设置点播域名example.cn-shanghai.aliyuncs.com的Referer白名单为aliyundoc.com,且不允许空Referer访问,请求数据:

    curl -i 'http://example.cn-shanghai.aliyuncs.com/sv/5101d1f8-1643f9a****/5101d1f8-1643f9a****.mp4'
  • 返回

    当请求带上允许的Referer后即正常返回:

    curl -i 'http://example.cn-shanghai.aliyuncs.com/sv/5101d1f8-1643f9a****/5101d1f8-1643f9a****.mp4' \
    -H 'Referer: http://www.aliyundoc.com' 

User-Agent黑白名单

  • 介绍

    User-Agent是一个特殊字符串头,帮助服务端识别用户使用的操作系统及版本、CPU类型、浏览器及版本、浏览器渲染引擎&语言和插件等。可通过User-Agent黑白名单来限制特定浏览器或终端的访问。

  • 示例

    • 如PC端IE9浏览器:

      User-Agent:Mozilla/5.0(compatible;MSIE9.0;WindowsNT6.1;Trident/5.0;
    • 可模拟HTTP请求验证:

      curl -i 'http://example.cn-shanghai.aliyuncs.com/sv/5101d1f8-1643f9a****.mp4' \
      -H 'User-Agent: iPhone OS;MI 5'

IP黑白名单

视频点播支持配置IP黑名单或白名单,拒绝或只允许特定IP的访问。

  • 支持IP列表添加,并支持添加IP网段。

    例如:网段172.16.0.1/24,24表示采用子网掩码中的前24位为有效位,即用32-24=8bit来表示主机号,该子网可以容纳28-2=254台主机,故可表示IP网段范围:172.16.0.1~172.16.0.255。

  • 可选择优先使用remote_addr或X-Forwarded-For(XFF)作为请求端IP,或者同时匹配。

具体操作,请参见IP黑白名单

小结

  • 访问限制的使用门槛很低,只需简单配置即可使用,能起到一定的保护作用,特别是Web端。

  • Referer和User-Agent都是基于HTTP Header,容易被伪造,安全性低。

  • IP黑白名单机制,无法实现内容分发给大量C端用户,不适合广泛的内容消费场景,且后者在阈值范围内也可能被非法访问。