防盗链使用过程中遇到的问题

工作中需要对音频和图片进行防盗链处理&＃xff0c;数据存储使用第三方服务&＃xff0c;在使用的过程中遇到的一些注意事项&＃xff0c;特与大家分享。

防盗链的原理和应用场景

具体使用可参看此篇文章《防盗链》&＃xff0c;里面已经详细的介绍了防盗链的原理及使用场景&＃xff0c;和高级防盗链。这里就不再照本宣科。

具体使用中遇到的问题

项目中使用的是阿里云的OSS服务&＃xff0c;官网和云服务采用的通信都是http的&＃xff0c;这两天将自己的服务通过证书设置为https的请求。在设置之前&＃xff0c;所有的资源都可以正确访问&＃xff0c;但当设置为https之后&＃xff0c;发现云服务上的资源无法访问了。

在网上搜索资料有以下解决方案&＃xff1a;

• 将云服务防盗链中的规则设置为“允许referer为空”&＃xff0c;很显然&＃xff0c;这无法达到要求&＃xff0c;因为一旦设置为空用户不传此内容便可轻易绕过防盗链。
• 在meta中设置referer&＃xff0c;并将content内容设置为always&＃xff0c;尝试了一下貌似没有效果。
• 统一采用https。其实云服务是同时支持http和https两种类型的请求&＃xff0c;当时项目中的网络请求升级为https请求时&＃xff0c;只需将云服务的请求也改为https即可。

其中最后一种方案相对来说在初级版本中完整的解决了问题。简单分析一下出现无法访问的原因吧。当项目中使用https&＃xff0c;而云服务采用http时&＃xff0c;浏览器为了安全&＃xff0c;会强制将referer设置为空。因此&＃xff0c;云服务无法提供内容展示。在这里有的解决方案走入误区&＃xff1a;既然referer为空我就设置允许空不就可以了&＃xff1f;这种误区容易导致&＃xff0c;如果别人想利用你的资源&＃xff0c;只需将网站升级为https即可无限制的使用你的资源。

今天的知识分享就到这里&＃xff0c;原文链接&＃xff1a;https://www.choupangxia.com/topic/detail/83