防盗链

---

• 什么是盗链
  客户端向服务器请求资源时，为了减少网络带宽，提升响应时间，服务器一般不会一次将所有 资源完整地传回给客户端。比如在请求一个网页时，首先会传回该网页的文本内容，当客户端 浏览器在解析文本的过程中发现有图片存在时，会再次向服务器发起对该图片资源的请求，服 务器将存储的图片资源再发送给客户端。在这个过程中，如果该服务器上只包含了网页的文本 内容，并没有存储相关的图片资源，而是将图片资源链接到其他站点的服务器上，就形成了盗 链行为

• referer
  HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器我是从哪个页面链接过来的，服务器藉此可以获得一些信息用于处理。通过该头域的值，我们可以检测到访问目标资源的源地址

• 对象存储中防盗链

  • 对于私有的bucket，因为访问控制的原因，基本不存在大规模盗链的可能性，对于公开空间，因为没有访问权限控制，需要进行防盗链设置

• 友商防盗链做法

  • 七牛
    七牛对于公开空间的防盗链做法主要是通过设置白名单、黑名单和空referer是否可以访问来实现的
    设置选项(白名单和黑名单不会同时生效)有：白名单、黑名单、关闭三个选项
    

    

    七牛防盗链.png
    
    七牛采用三个参数来实现防盗链：
    : 防盗链类型：黑名单(black)|白名单(white)
: 防盗链黑白名单列表：以逗号(,)分割
:是否允许空referer

  • AWS
    AWS也是通过bucket的访问控制来实现防盗链的
    AWS通过bucket Policy中的condition来先设置不同请求的权限

  上面的例子就是说，允许匹配的域名和ip拥有bucket：mybucket GetObject的权限

  
  
  

  AWS_bucket_policy.png

• 初步设想

  • 采用类似七牛的方式设置白名单、黑名单来实现防盗链
  • 通过http请求中的referer确定请求的来源，如果http请求中没有referer为空，这里对于referer为空是否允许访问也可以设置
  • 在我们bucket访问控制中加入字段
    ： 防盗链类型：白名单 | 黑名单 | 关闭
<白名单列表> 域名(ip)匹配，以逗号隔开
<黑名单列表> 域名(ip)匹配，以逗号隔开
是否支持空referer
  • 第一个版本先不支持共同支持白名单和黑名单同时设置，这个接口要留下