如何防止 Amazon Cloudfront 盗链？

发布于 2024-11-01 02:29:54 字数 609 浏览 0 评论 0原文

我使用 Amazon Cloudfront 托管我网站的所有图像和视频，以便更快地为分散在全球各地的用户提供服务。我还对 Cloudfront 上托管的元素应用了相当积极的前向缓存，将 Cache-Control 设置为 public, max-age=7776000。

最近，我很恼火地发现，第三方网站正在盗链到我的 Cloudfront 服务器，以便在未经授权的情况下在自己的页面上显示图像。

我已配置 .htaccess 以防止在我自己的服务器上进行热链接，但尚未找到在 Cloudfront 上执行此操作的方法，Cloudfront 似乎本身不支持该功能。而且，令人烦恼的是，亚马逊的存储桶策略可用于防止热链接，但仅对 S3 有效，对 CloudFront 发行版没有影响 [链接]。如果您想利用这些策略，您必须直接从 S3 提供内容。

在我的服务器日志中搜索热链接并手动更改文件名并不是一个现实的选择，尽管我一直这样做是为了结束最明目张胆的犯罪行为。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

闻呓 2024-11-08 02:29:54

您可以将 Referer 标头转发到您的源

转到 CloudFront 设置
编辑分配的分配设置
转到“行为”选项卡，然后编辑或创建行为
将转发标头设置为白名单
添加引用作为白名单标头
将设置保存在右下角

确保也处理源上的引用标头。

回复收藏 0 原文

残花月 2024-11-08 02:29:54

我们遇到了许多盗链问题。最后，我们为许多图像创建了 CSS 精灵。在底部/侧面添加空白或将图像组合在一起。

我们使用 CSS 在页面上正确显示它们，但任何热链接都会错误地显示图像，除非它们也复制了 CSS/HTML。

我们发现他们不打扰（或不知道如何打扰）。

回复收藏 0 原文

风流物 2024-11-08 02:29:54

官方方法是为您的媒体使用签名网址。对于您想要分发的每个媒体片段，您可以生成一个特制的 URL，该 URL 在给定的时间和源 IP 限制下工作。

静态页面的一种方法是为该页面中包含的媒体生成临时 URL，其有效期是页面缓存时间的 2 倍。假设您的页面的缓存时间是 1 天。每 2 天，链接就会失效，这迫使热链接者更新其 URL。这并不是万无一失的，因为他们可以构建工具来自动获取新的网址，但这应该会阻止大多数人。

如果您的页面是动态的，则无需担心会破坏页面的缓存，因此您可以简单地生成仅适用于请求者 IP 的 URL。

回复收藏 0 原文

嘿哥们儿 2024-11-08 02:29:54

自 2015 年 10 月起，您可以使用 AWS WAF 限制对 Cloudfront 文件的访问。这是一篇来自 AWS 的文章，其中介绍了 WAF 并解释了您可以执行的操作与它。这里有一篇文章帮助我设置了我的第一个 ACL 根据引用者限制访问。

基本上，我创建了一个默认操作为 DENY 的新 ACL。我添加了一条规则来检查我的域名（小写）的引用标头字符串的末尾。如果它通过了该规则，则允许访问。

将我的 ACL 分配给我的 Cloudfront 发行版后，我尝试直接在 Chrome 中加载我的数据文件之一，但收到此错误：

回复收藏 0 原文

你是我的挚爱i 2024-11-08 02:29:54

据我所知，目前还没有解决方案，但我有一些可能相关、可能不相关的建议...

第一：很多人在 Cloudfront 支持论坛上问过这个问题。请参阅此处和此处。

显然，AWS 从热链接中受益：点击次数越多，他们向我们收取的费用就越高！我认为我们（Cloudfront 用户）需要启动某种精心策划的活动，让他们提供引用检查作为一项功能。

我想到的另一个临时解决方案是更改用于将流量发送到 cloudfront/s3 的 CNAME。假设您当前将所有图像发送到：

cdn.blahblahblah.com （重定向到某个 cloudfront/s3 存储桶）

的 DNS 条目

您可以将其更改为 cdn2.blahblahblah.com 并删除 cdn.blahblahblah.com作为 DNS 更改，这会在流量到达您的服务器之前淘汰当前正在热链接的所有人员：DNS 条目将根本无法查找。您必须不断更改 cdn CNAME 才能使其生效（例如每月一次？），但它会起作用。

这实际上是一个比看起来更大的问题，因为这意味着人们可以更轻松地抓取您网站页面的整个副本（包括图像） - 因此，您丢失的不仅仅是图像，也不仅仅是您为提供这些图像而付费。搜索引擎有时会得出结论，您的页面是副本，副本是原件......然后您的流量就会爆炸。

我正在考虑放弃 Cloudfront，转而采用战略定位的超快专用服务器（从一个地方向全世界提供所有内容），以便让我对这些事情有更多的控制权。

无论如何，我希望其他人有更好的答案！

回复收藏 0 原文

不羁少年 2024-11-08 02:29:54

这个问题提到了图像和视频文件。
Referer 检查不能用于保护多媒体资源免遭盗链，因为某些移动浏览器在请求使用 HTML5 播放的音频或视频文件时不会发送 Referer 标头。
我对 iPhone 上的 Safari 和 Chrome 以及 Android 上的 Safari 确信这一点。
太糟糕了！谢谢苹果和谷歌。

回复收藏 0 原文