You need to enable JavaScript to run this app.
导航
配置 Origin 防盗链
最近更新时间:2023.08.23 19:50:16首次发布时间:2023.08.23 19:50:16

视频点播支持在域名管理中配置 Origin 防盗链。本文为您介绍 Origin 防盗链的功能和操作步骤等内容。

适用范围

Origin 防盗链适用于点播加速域名、自定义源站加速域名和封面加速域名。

功能介绍

Origin 是 HTTP 请求中的一个请求头,表示请求是来自哪个站点。Origin 头包含协议、域名和端口,不包含路径与查询参数。端口是可选的。

Origin 头的作用之一是防盗链。支持为您的站点配置一个 Origin 黑名单以拒绝来自指定域名的请求。或者支持为您的站点配置一个 Origin 白名单只允许接受来自指定域名的请求。

关于空 Origin

空 Origin 的定义是 Origin 头没有值或者请求中不包含 Origin 头。

说明

Origin: null 不被视为是 "空 Origin" 情况。

操作步骤

  1. 登录视频点播控制台,进入空间。

  2. 选择左侧导航栏分发加速设置 > 域名管理,进入域名管理页面。

  3. 根据您的域名类型,选择点播加速域名自定义源站加速域名或者封面加速域名页签。在域名列表中找到您需要配置的域名,单击操作列的配置按钮。

  4. 进入对应加速域名配置页面,选择访问控制页签。

  5. 单击页面下方的修改配置按钮。Origin 防盗链功能默认关闭。您可以在 Origin 防盗链下方,将状态设为开启,根据提示,完成参数配置。

    参数说明

    类型

    支持以下选项:

    • 白名单:当您只想允许来自某些站点的请求时,可以配置一个白名单。如果用户的请求不匹配白名单,视频点播拒绝请求并响应 403 状态码。
    • 黑名单:当您只想阻止来自某些站点的请求时,可以配置一个黑名单。如果用户的请求匹配了黑名单,视频点播拒绝请求并且响应 403 状态码。

    规则

    • 勾选允许空 Origin 访问 CDN 资源:是否接收 Origin 头没有值的请求以及不包含 Origin 头的请求。
    • 输入规则:支持输入一个或者多个名单条目。名单的长度不能超过 3,000 个字符。您可以输入一个或者多个域名和 IP 地址。
      • 域名包括子域名和泛域名。
      • IP 地址包括 IPv4 地址、IPv6 地址、CIDR 网段。
      • 多个条目使用分号(;)或换行符分隔。
      • 输入名单总数不超过 100 个。

    注意

    一个二级域名是单个域名,不是泛域名。一个泛域名不包含二级域名本身。例如:*.test.com 不包含二级域名 test.com,但是包含 www.test.coma.a.test.com 等。
    子域名包含的级别数量没有限制。关于 Origin 名单的匹配逻辑,参见下方Origin 匹配逻辑

  6. 完成配置后,单击保存配置按钮。

Origin 匹配逻辑

通过以下名单配置为例,表述 Origin 头的匹配逻辑。如果一个请求未匹配白名单或者匹配了黑名单,视频点播会拒绝请求并返回 403 响应状态码。

名单配置用户请求中 Origin 头匹配名单匹配逻辑说明
  • www.test.com
  • 1.1.1.1
  • 2001:0db8:3c4d:0015:0000:0000:1a2f:1a2b
  • *.test.com

http://www.test.com

Origin 头中的域名匹配名单。

http://www.test.com:80

www.test.com

Origin 头不符合 HTTP 协议规范。规范要求 Origin 头部值必须是以下格式之一:

  • scheme://host:port
  • scheme://host
2001:0db8:3c4d:0015:0000:0000:1a2f:1a2b
http://2001:0db8:3c4d:0015:0000:0000:1a2f:1a2bOrigin 头不符合 HTTP 协议规范。规范要求当 host 是一个 IPv6 地址时,该地址必须包裹在 [] 中。
http://[2001:0db8:3c4d:0015:0000:0000:1a2f:1a2b]Origin 头中的 IP 地址匹配名单。
http://aaa.test.comOrigin 头中的多级域名匹配名单中的泛域名条目。泛域名是包含多级域名的。
http://ss.aaa.test.com
http://test.comOrigin 头中的二级域名不匹配名单中的泛域名条目。原因是泛域名不包含二级域名本身。