动态与公告

产品动态

产品公告

产品简介

产品概述

功能概览

应用场景

产品优势

基本概念

地域和访问域名

规格与限制

产品计费

计费概述

计费方式

计费项

免费额度

计费示例

查看和下载账单

欠费说明

常见问题

快速入门

控制台快速入门

COSBrowser 快速入门

用户指南

创建请求

存储桶

对象

数据管理

批量处理

全球加速

监控与告警

运维中心

数据处理

内容审核

智能工具箱

数据工作流

应用集成

工具指南

工具概览

环境安装与配置

COSBrowser 工具

COSCLI 工具

COSCMD 工具

COS Migration 工具

FTP Server 工具

Hadoop 工具

COSDistCp 工具

HDFS TO COS 工具

GooseFS-Lite 工具

在线辅助工具

自助诊断工具

实践教程

概览

访问控制与权限管理

性能优化

使用 AWS S3 SDK 访问 COS

数据容灾备份

域名管理实践

图片处理实践

COS 音视频播放器实践

工作流实践

数据直传

内容审核实践

数据安全

数据校验

大数据实践

COS 成本优化解决方案

在第三方应用中使用 COS

迁移指南

本地数据迁移至 COS

第三方云存储数据迁移至 COS

以 URL 作为源地址的数据迁移至 COS

COS 之间数据迁移

Hadoop 文件系统与 COS 之间的数据迁移

数据湖存储

云原生数据湖

元数据加速

数据加速器 GooseFS

数据处理

数据处理概述

图片处理

媒体处理

内容审核

文件处理

文档处理

故障处理

获取 RequestId 操作指引

通过外网上传文件至 COS 缓慢

访问 COS 时返回403错误码

资源访问异常

POST Object 常见异常

API 文档

简介

公共请求头部

公共响应头部

错误码

请求签名

操作列表

Service 接口

Bucket 接口

Object 接口

批量处理接口

数据处理接口

任务与工作流

内容审核接口

云查毒接口

SDK 文档

SDK 概览

准备工作

Android SDK

C SDK

C++ SDK

.NET(C#) SDK

Flutter SDK

Go SDK

iOS SDK

Java SDK

JavaScript SDK

Node.js SDK

PHP SDK

Python SDK

React Native SDK

小程序 SDK

错误码

鸿蒙(Harmony) SDK

终端 SDK 质量优化

安全与合规

数据容灾

数据安全

访问管理

常见问题

热门问题

一般性问题

计费计量问题

域名合规问题

存储桶配置问题

域名和 CDN 问题

文件操作问题

日志监控问题

权限管理问题

数据处理问题

数据安全问题

预签名 URL 问题

SDK 类问题

工具类问题

API 类问题

服务协议

Service Level Agreement

隐私政策

数据处理和安全协议

联系我们

词汇表

设置防盗链

PDF

聚焦模式

字号

最后更新时间： 2025-11-28 17:49:13

简介
为了避免恶意程序使用资源 URL 盗刷公网流量或使用恶意手法盗用资源，给用户带来不必要的损失。腾讯云对象存储支持防盗链配置，建议您通过控制台的防盗链设置配置黑/白名单，来进行安全防护。
注意
如果您访问对象时带有签名（不论 URL 和 Header），则不进行防盗链验证。
配置防盗链时，针对大文件分块请求的场景，您可以把自身域名添加到防盗链白名单中。
操作步骤
1. 登录 对象存储控制台，在左侧菜单栏中单击存储桶列表，进入存储桶列表页面。
2. 找到您需要设置防盗链的存储桶，单击其名称，进入存储桶管理页面。
3. 单击安全管理 > 防盗链设置，找到防盗链设置，单击编辑进入可编辑状态。
4. 修改当前状态为开启，选择名单类型（黑名单或白名单），并在 Referer 配置项中输入需添加黑名单或白名单的域名或 IP 地址，确认无误后单击保存即可，配置项说明如下：
﻿
﻿
﻿
黑名单：选择该项，则 Referer 中的域名或 IP 地址将被拒绝访问存储桶的默认访问地址，并返回403。
白名单：选择该项，则 Referer 中的域名或 IP 地址将被允许访问存储桶的默认访问地址，其他域名或 IP 将被拒绝访问存储桶的默认访问地址，并返回403。
空 referer：HTTP 请求中，header 为空 referer（即不带 referer 字段或 referer 字段为空）。
Referer：支持设置最多10条域名且为相同前缀匹配，每条一行，多条请换行；支持域名、IP 和通配符*等形式的地址。示例如下：
配置www.example.com：可限制如www.example.com/123、www.example.com.cn等以www.example.com为前缀的地址。
支持带端口的域名和 IP，例如www.example.com:8080、10.10.10.10:8080等地址。
配置*.example.com：可限制a.b.example.com/123、a.example.com等地址。
说明
 如果通过 CDN 域名加速访问，则优先执行 CDN 的防盗链规则，再执行对象存储的防盗链规则。
使用 REST API/SDK
您可以通过以下 API 设置防盗链：
﻿PUT Bucket referer﻿
﻿GET Bucket referer﻿
您可以直接调用 SDK 设置防盗链，详情请参见下列各语言 SDK 文档：
﻿Android, C, C++, .NET(C#), Go, iOS, Java, JavaScript, Node.js, PHP, Python, Mini Program.
示例
APPID 为 1250000000 的用户创建了一个名为 examplebucket-1250000000 的存储桶，并在根目录下放置了一张图片 picture.jpg，COS 根据规则生成了一个默认访问地址 ：
examplebucket-1250000000.file.myqcloud.com/picture.jpg
用户 A 拥有网站：
www.example.com
并将该图片嵌入了首页 index.html 中。
此时站长 B 持有网站：
www.fake.com
站长 B 想把这张图片放入www.fake.com中。由于不想付流量费用，他便直接通过以下地址引用了 picture.jpg，并放置到www.fake.com网站首页 index.html。
examplebucket-1250000000.file.myqcloud.com/picture.jpg
为了避免用户 A 的损失，针对以上状况，我们提供两种开启防盗链的方式。
开启方式一
配置黑名单模式，域名设置填入*.fake.com并保存生效。
开启方式二
配置白名单模式，域名设置填入*.example.com并保存生效。
开启前
访问http://www.example.com/index.html图片显示正常。
访问http://www.fake.com/index.html图片也显示正常。
开启后
访问http://www.example.com/index.html图片显示正常。
访问http://www.fake.com/index.html图片无法显示。
小程序相关说明
1. 小程序的网络请求的 referer 是固定格式为：https://servicewechat.com/{appid}/{version}/page-frame.html。
2. 如果存储桶打开了防盗链限制，并且需要允许小程序加载 COS 图片，请在 对象存储控制台 配置防盗链白名单：servicewechat.com。

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

tencent cloud

对象存储

设置防盗链

简介

操作步骤

使用 REST API/SDK

示例

开启方式一

开启方式二

开启前

开启后

小程序相关说明

帮助和支持