阿里云带余额账号 阿里云OSS防盗链设置

防盗链：你的OSS资源"金钟罩"

想象一下，你辛辛苦苦上传的高清美图，突然出现在某个小广告网站上，还带着他们的Logo。更惨的是，你的带宽被薅秃了，账单突增，老板气得直跳脚。这时候，防盗链就是你的"金钟罩"，让外人想蹭流量？门都没有！

为什么需要防盗链？

别小看这防盗链，它可是OSS的"守门员"。当你的图片、视频或文件存储在OSS上，别人可以通过URL直接访问。如果没有防盗链，随便哪个网站都能把你资源挂到他们的页面上，你的带宽就被人家当免费午餐了。结果呢？你的账单像坐火箭，而你的用户却在抱怨加载慢。

举个栗子，你有个博客，用了OSS存图片。某天发现流量激增，一看日志，原来是某个论坛把你的图片直接嵌到帖子了。成千上万的访问量都是人家的流量，你却在默默付钱。这时候防盗链就派上用场了，它像保安一样检查访问来源，不是你的"自己人"就别想碰你的资源。

更严重的是，有些恶意网站可能用你的图片做钓鱼链接，或者传播非法内容，结果你的OSS账号被封，损失更大。所以，防盗链不仅是省钱，更是安全防线。

防盗链的原理

防盗链的核心是"Referer"验证。当浏览器访问资源时，会携带来源页面的URL（Referer）。OSS根据你设置的规则，判断这个Referer是否在允许的列表里。如果是白名单模式，只有白名单的域名才能访问；如果是黑名单，特定域名被禁止。当然，有些情况Referer可能为空，比如直接访问URL或者通过app访问，这时候需要特殊处理。

举个例子，如果你的网站是www.example.com，那么当用户从example.com的页面点击图片时，Referer就是example.com。如果有人直接在浏览器地址栏输入图片URL，Referer可能为空。所以设置时得考虑这些情况，否则可能把自己也拦在外边了。

另外，Referer字段其实是可以伪造的，所以防盗链并不是绝对安全。但大多数情况下，它能有效阻挡普通盗链行为。对于更高安全需求，可以结合签名URL或RAM权限来加强。

手把手教你设置防盗链

第一步：登录控制台，找到你的Bucket

首先，打开阿里云控制台，进入OSS服务。找到你的Bucket，点击进入。这一步很简单，但千万别点错Bucket，不然可能给别人的资源设防盗链，那就尴尬了。记得检查Bucket名称是否正确，最好先确认下，别像我上次一样，把测试环境的Bucket当生产环境，差点把整个系统搞崩。

在OSS控制台，左侧菜单选"Bucket列表"，找到你要配置的Bucket。点击进入后，你会看到Bucket的概览页面。这里别着急点其他选项，先确认这是你要操作的Bucket，比如看下创建时间、区域等信息，确保无误。

第二步：进入权限管理，找到防盗链设置

在Bucket详情页面，找到"权限管理"选项卡，点击"防盗链"子选项。这里就是你的"魔法控制台"，接下来要设置规则。注意，别急着点保存，先看清楚每个选项的意思，毕竟设置错了可能导致资源无法访问，自己把自己锁在外面。

阿里云带余额账号 如果你找不到"防盗链"，可能需要先确认Bucket是否在正确的区域，或者权限是否有问题。有些Bucket可能默认没有防盗链选项，需要检查是否属于标准存储类型，或者是否是新Bucket。一般来说，所有Bucket都支持防盗链设置，所以不用太担心。

第三步：配置Referer白名单和黑名单

在防盗链设置页面，你会看到几个关键选项。首先是"Referer白名单"，这里填你允许访问的域名。比如，你的网站是www.example.com，那就在白名单里添加example.com。如果还有子域名，比如blog.example.com，也要加上。记得添加时不要带http://或者https://，只填域名。比如填"example.com"，系统会自动匹配所有子域？不一定，需要看阿里云的具体要求，通常可能需要填写具体的子域名，或者使用通配符*.example.com，但有时候通配符可能不支持，所以最好写全。

举个实际例子：假设你的网站是www.myblog.com，同时还有admin.myblog.com，那么白名单应该包括myblog.com和www.myblog.com，或者*.myblog.com？查一下阿里云文档，通常通配符是*.example.com，但实际可能需要具体设置。比如，如果填写*.myblog.com，那么所有子域名都会被允许。不过，可能需要测试一下，或者直接填写具体的域名，避免出错。

另外，还有一个选项是"是否允许Referer为空"。这个选项要根据实际情况选。比如，如果你的App直接访问OSS资源，可能没有Referer，这时候需要允许为空。但如果你的资源只用于网站，可能不需要允许空Referer，这样能更安全。不过，如果设置不允许空Referer，但App访问时没有Referer，就会被拦截，所以得小心。这时候可以选允许空Referer，但配合其他安全措施。

黑名单的话，可以填一些恶意域名，比如你知道有网站在盗用你的资源，直接把他们的域名加到黑名单，这样他们访问时直接拒绝。比如，发现某网站"bad-site.com"在盗图，就加到黑名单里。这样即使白名单里有其他域名，但黑名单里的会优先拦截。

第四步：保存设置并测试

设置好后，别忘了点击"保存"。然后立即测试一下，用你的网站访问图片是否正常，再用其他网站或者直接访问URL看是否被拦截。可以开两个浏览器窗口，一个登录自己的网站，另一个用新窗口直接打开图片URL。如果直接访问被403 Forbidden，说明防盗链生效了。但如果自己网站也打不开，说明白名单没加对，检查是否漏了域名或者子域名。

测试时记得清空浏览器缓存，或者用隐身模式，避免缓存影响结果。有时候缓存会误导你，以为设置没生效，其实只是浏览器缓存了之前的请求。另外，可以用curl命令测试，比如：

curl -I http://your-bucket.oss-cn-region.aliyuncs.com/image.jpg

如果返回403，说明防盗链生效。但如果返回200，可能设置有问题。或者，可以指定Referer测试：

curl -H "Referer: http://example.com" -I http://your-bucket.oss-cn-region.aliyuncs.com/image.jpg

这样就能模拟特定来源的访问，检查是否被允许。

常见问题与避坑指南

问题一：设置防盗链后，自己的网站图片打不开了

这可能是最常见的坑。原因通常是白名单没加全。比如，你只加了example.com，但你的网站实际用的是www.example.com，或者用了https协议，而Referer里带了https://www.example.com，这时候白名单里只写了example.com可能不够。需要确认你的网站实际使用的域名，包括协议和子域名。另外，有些CDN可能会修改Referer，这时候需要把CDN的域名也加到白名单里。

解决方法：仔细检查白名单中的域名，包括所有可能的访问来源。比如，如果你的网站有多个子域名，或者用了CDN，需要把所有相关域名都加进去。另外，可以尝试在白名单里添加"*"，但这样可能不安全，因为所有网站都能访问。不过通常不推荐，因为安全第一。正确的做法是列出所有合法域名。

还有一个细节：阿里云的Referer白名单支持通配符，比如*.example.com，这样所有子域名都允许。但要注意，填写时不要带http://，直接写域名部分。例如，填写*.example.com，但有些情况下可能需要写example.com和*.example.com，或者只写*.example.com就能匹配所有子域。具体可以看阿里云文档，但因为不能带链接，所以用文字说明。

问题二：空Referer的处理

如果你的应用是移动端App，或者直接通过命令行访问OSS，可能Referer为空。这时候如果设置了不允许空Referer，访问就会被拒绝。所以需要考虑是否允许空Referer。但允许的话，可能带来安全风险，因为任何人都可以构造空Referer请求。这时候可以结合其他安全措施，比如使用签名URL，或者限制访问IP。

例如，如果你的App需要访问，可以生成带签名的URL，这样即使Referer为空，但签名有效也能访问。或者，如果必须允许空Referer，可以设置白名单中包含空值（不过阿里云可能不支持直接填空，而是有个选项允许空Referer）。

实际应用中，比如微信小程序或者App，通常需要允许空Referer，但同时用签名URL来授权。这样既保证了安全，又不影响访问。所以，如果你的业务有移动端需求，建议开启"允许空Referer"，但配合签名访问，避免直接公开URL被滥用。

问题三：防盗链设置后，图片在微信里显示不了

微信等社交平台访问时，Referer可能是微信的域名，比如mp.weixin.qq.com，或者可能为空。这时候如果没把微信的域名加到白名单，图片就显示不了。这时候需要把微信的域名加到白名单里，或者允许空Referer。但微信的Referer可能因版本不同而变化，所以最好确认具体Referer值。例如，微信公众号文章中的图片，Referer可能是mp.weixin.qq.com，所以要添加这个域名到白名单。

解决方法：检查微信访问时的Referer，通常可以抓包或者用浏览器开发者工具查看。然后把对应的域名加到白名单里。或者，如果不想太麻烦，可以允许空Referer，但这样可能降低安全性，需要权衡。比如，如果只是图片在微信中显示，而微信的Referer是mp.weixin.qq.com，那就把这个加到白名单里，这样既安全又不影响微信显示。

小结：防盗链是刚需，但别设得太严

防盗链设置虽然简单，但细节决定成败。配置时一定要仔细测试，尤其是白名单和空Referer的处理。记住，安全性和可用性要平衡，太严了自己用不了，太松了又容易被薅。根据实际场景灵活调整，比如网站用白名单，App用签名URL，微信访问时加对应域名。

最后，别忘了定期检查防盗链规则，尤其是当你的域名有变化时。比如，新增了子域名或者换了CDN服务商，都需要及时更新白名单。这样你的OSS资源才能稳如泰山，再也不用担心被别人"白嫖"了。

当然，如果你觉得防盗链配置麻烦，也可以考虑使用阿里云的CDN服务，它自带更强大的防盗链功能，还能加速访问。不过对于简单场景，OSS自带的防盗链已经足够用了。毕竟，谁不想省点钱，又让自己的资源安安稳稳呢？