视频点播支持在域名管理中配置 Origin 防盗链。本文为您介绍 Origin 防盗链的功能和操作步骤等内容。
适用范围
Origin 防盗链适用于点播加速域名、自定义源站加速域名和封面加速域名。
功能介绍
Origin 是 HTTP 请求中的一个请求头,表示请求是来自哪个站点。Origin 头包含协议、域名和端口,不包含路径与查询参数。端口是可选的。
Origin 头的作用之一是防盗链。支持为您的站点配置一个 Origin 黑名单以拒绝来自指定域名的请求。或者支持为您的站点配置一个 Origin 白名单只允许接受来自指定域名的请求。
关于空 Origin
空 Origin 的定义是 Origin 头没有值或者请求中不包含 Origin 头。
说明
Origin: null 不被视为是 "空 Origin" 情况。
操作步骤
登录视频点播控制台,进入空间。
选择左侧导航栏分发加速设置 > 域名管理,进入域名管理页面。
根据您的域名类型,选择点播加速域名、自定义源站加速域名或者封面加速域名页签。在域名列表中找到您需要配置的域名,单击操作列的配置按钮。
进入对应加速域名配置页面,选择访问控制页签。
单击页面下方的修改配置按钮。Origin 防盗链功能默认关闭。您可以在 Origin 防盗链下方,将状态设为开启,根据提示,完成参数配置。
参数 说明 类型
支持以下选项:
- 白名单:当您只想允许来自某些站点的请求时,可以配置一个白名单。如果用户的请求不匹配白名单,视频点播拒绝请求并响应 403 状态码。
- 黑名单:当您只想阻止来自某些站点的请求时,可以配置一个黑名单。如果用户的请求匹配了黑名单,视频点播拒绝请求并且响应 403 状态码。
规则
- 勾选允许空 Origin 访问 CDN 资源:是否接收 Origin 头没有值的请求以及不包含 Origin 头的请求。
- 输入规则:支持输入一个或者多个名单条目。名单的长度不能超过 3,000 个字符。您可以输入一个或者多个域名和 IP 地址。
- 域名包括子域名和泛域名。
- IP 地址包括 IPv4 地址、IPv6 地址、CIDR 网段。
- 多个条目使用分号(;)或换行符分隔。
- 输入名单总数不超过 100 个。
注意
一个二级域名是单个域名,不是泛域名。一个泛域名不包含二级域名本身。例如:
*.test.com不包含二级域名test.com,但是包含www.test.com、a.a.test.com等。
子域名包含的级别数量没有限制。关于 Origin 名单的匹配逻辑,参见下方Origin 匹配逻辑。完成配置后,单击保存配置按钮。
Origin 匹配逻辑
通过以下名单配置为例,表述 Origin 头的匹配逻辑。如果一个请求未匹配白名单或者匹配了黑名单,视频点播会拒绝请求并返回 403 响应状态码。
| 名单配置 | 用户请求中 Origin 头 | 匹配名单 | 匹配逻辑说明 |
|---|---|---|---|
| http://www.test.com | 是 | Origin 头中的域名匹配名单。 |
| http://www.test.com:80 | 是 | ||
www.test.com | 否 | Origin 头不符合 HTTP 协议规范。规范要求 Origin 头部值必须是以下格式之一:
| |
| 2001:0db8:3c4d:0015:0000:0000:1a2f:1a2b | 否 | ||
| http://2001:0db8:3c4d:0015:0000:0000:1a2f:1a2b | 否 | Origin 头不符合 HTTP 协议规范。规范要求当 host 是一个 IPv6 地址时,该地址必须包裹在 [] 中。 | |
| http://[2001:0db8:3c4d:0015:0000:0000:1a2f:1a2b] | 是 | Origin 头中的 IP 地址匹配名单。 | |
| http://aaa.test.com | 是 | Origin 头中的多级域名匹配名单中的泛域名条目。泛域名是包含多级域名的。 | |
| http://ss.aaa.test.com | 是 | ||
| http://test.com | 否 | Origin 头中的二级域名不匹配名单中的泛域名条目。原因是泛域名不包含二级域名本身。 |