动态与公告

产品动态

产品公告

产品简介

产品概述

功能概览

应用场景

产品优势

基本概念

地域和访问域名

规格与限制

产品计费

计费概述

计费方式

计费项

免费额度

计费示例

查看和下载账单

欠费说明

常见问题

快速入门

控制台快速入门

COSBrowser 快速入门

用户指南

创建请求

存储桶

对象

数据管理

批量处理

全球加速

监控与告警

运维中心

数据处理

内容审核

智能工具箱

数据工作流

应用集成

工具指南

工具概览

环境安装与配置

COSBrowser 工具

COSCLI 工具

COSCMD 工具

COS Migration 工具

FTP Server 工具

Hadoop 工具

COSDistCp 工具

HDFS TO COS 工具

GooseFS-Lite 工具

在线辅助工具

自助诊断工具

实践教程

概览

访问控制与权限管理

性能优化

使用 AWS S3 SDK 访问 COS

数据容灾备份

域名管理实践

图片处理实践

COS 音视频播放器实践

工作流实践

数据直传

内容审核实践

数据安全

数据校验

大数据实践

COS 成本优化解决方案

在第三方应用中使用 COS

迁移指南

本地数据迁移至 COS

第三方云存储数据迁移至 COS

以 URL 作为源地址的数据迁移至 COS

COS 之间数据迁移

Hadoop 文件系统与 COS 之间的数据迁移

数据湖存储

云原生数据湖

元数据加速

数据加速器 GooseFS

数据处理

数据处理概述

图片处理

媒体处理

内容审核

文件处理

文档处理

故障处理

获取 RequestId 操作指引

通过外网上传文件至 COS 缓慢

访问 COS 时返回403错误码

资源访问异常

POST Object 常见异常

API 文档

简介

公共请求头部

公共响应头部

错误码

请求签名

操作列表

Service 接口

Bucket 接口

Object 接口

批量处理接口

数据处理接口

任务与工作流

内容审核接口

云查毒接口

SDK 文档

SDK 概览

准备工作

Android SDK

C SDK

C++ SDK

.NET(C#) SDK

Flutter SDK

Go SDK

iOS SDK

Java SDK

JavaScript SDK

Node.js SDK

PHP SDK

Python SDK

React Native SDK

小程序 SDK

错误码

鸿蒙(Harmony) SDK

终端 SDK 质量优化

安全与合规

数据容灾

数据安全

访问管理

常见问题

热门问题

一般性问题

计费计量问题

域名合规问题

存储桶配置问题

域名和 CDN 问题

文件操作问题

日志监控问题

权限管理问题

数据处理问题

数据安全问题

预签名 URL 问题

SDK 类问题

工具类问题

API 类问题

服务协议

Service Level Agreement

隐私政策

数据处理和安全协议

联系我们

词汇表

防盗链实践

PDF

聚焦模式

字号

最后更新时间： 2025-11-13 17:25:25

简介
腾讯云对象存储支持防盗链配置，用户可以对存储桶设置防盗链功能，该功能可以实现对访问来源设置黑、白名单，避免资源被盗用。本文为您详细介绍如何为存储桶配置防盗链，防止资源被盗用。
防盗链判断原理
防盗链是通过请求 Header 里的 Referer 地址来进行判断：
Referer 是 Header 的一部分，当浏览器向 Web 服务器发送请求的时候，一般会带上 Referer，告诉服务器该请求是从哪个页面链接过来的，服务器就可以禁止或允许某些来源的网站访问资源。
如果直接在浏览器直接打开文件链接https://examplebucket-1250000000.cos.ap-guangzhou.myqcloud.com/1.jpg，请求 Header 里不会带有 Referer。
例如，下图是在https://127.0.0.1/test/test.html嵌入了图片1.jpg，访问https://127.0.0.1/test/test.html时就带有 Referer 指向访问来源：
﻿
﻿
盗链案例分析
用户 A 在 COS 上传了图片资源1.jpg，得到图片的可访问链接为https://examplebucket-1250000000.cos.ap-guangzhou.myqcloud.com/1.jpg。
用户 A 将该图片嵌入到自己的网页https://example.com/index.html上，图片能正常访问。
用户 B 在用户 A 网页上看到了该图片，决定将该图片嵌入在他自己的网页https://b.com/test/test.html上，此时用户 B 的网页也能正常显示该图片。
以上案例中，用户 A 的图片资源1.jpg就被用户 B 盗链了。此时用户 A 在不知情的情况下，COS 上的资源持续被用户 B 网页正常使用，用户 A 负担了额外的流量费用，造成了费用损失。
解决方式
根据以上 盗链案例分析 ，用户 A 可以通过防盗链设置防止用户 B 盗链图片，具体方法如下：
1. 用户 A 给存储桶 examplebucket-1250000000 设置防盗链规则，有两种方式可以防止用户 B 盗链：
开启方式一：配置黑名单模式，域名设置填入*.b.com并保存生效。
开启方式二：配置白名单模式，域名设置填入*.example.com并保存生效。
2. 开启了防盗链配置之后：
访问https://example.com/index.html 图片显示正常。
访问https://b.com/test/test.html  图片无法显示，表现如下图。
﻿
﻿
具体步骤
1. 登录 对象存储控制台，在左侧导航栏中单击【存储桶列表】，进入存储桶列表页。
2. 选择需要设置防盗链的存储桶，进入存储桶。
﻿
﻿
3. 在左侧菜单栏中单击【安全管理】>【防盗链设置】，进入存储桶防盗链设置的配置页。
4. 在“防盗链设置”栏中，单击【编辑】，进入编辑状态。
﻿
﻿
5. 开启防盗链，并配置名单类型和域名，此处选择开启方式二，详细说明如下：
类型：有黑、白名单两种：
黑名单：限制名单内的域名访问存储桶的默认访问地址，若名单内的域名访问存储桶的默认访问地址，则返回403。
白名单：限制名单外的域名访问存储桶的默认访问地址，若名单外的域名访问存储桶的默认访问地址，则返回403。
Referer ：设置域名支持最多十条域名且为前缀匹配，支持域名、IP 和通配符*等形式的地址。一个地址占一行，多个地址请换行。配置规则说明和示例如下：
支持带端口的域名和 IP，如example.com:8080、10.10.10.10:8080等地址。
配置example.com，可命中如example.com/123等以example.com为前缀的地址。
配置example.com，可命中如https://example.com和http://example.com为前缀的地址。
配置example.com，可命中它的带端口域名example.com:8080。 
配置example.com:8080，不会命中域名example.com。
配置 *.example.com，可限制它的二级、三级域名example.com、b.example.com、a.b.example.com。
注意
用户设置防盗链状态为开启后，必须填入相应的域名。
6. 配置完成之后，单击【保存】即可。
﻿
﻿
常见问题
关于防盗链的相关的疑问，可前往 COS 常见问题中的 数据安全 文档寻求解答。