跳到主要内容

静态托管安全配置

静态托管的安全配置为云开发的静态托管服务提供全方位的安全防护机制,帮助开发者有效保护网站资源,防止恶意访问和资源盗用。通过合理配置以下安全选项,可以显著提升您的静态网站安全性:

  • 防盗链配置 - 控制资源访问来源
  • IP 黑白名单配置 - 精确管理访问权限
  • IP 访问限频配置 - 防止恶意高频请求

防盗链配置

防盗链功能通过识别请求来源(Referer)来判断访问是否合法,有效防止资源被其他网站非法引用,保护您的带宽和流量资源。

配置步骤

  1. 在云开发控制台中,通过【环境配置】-【安全管控】,进入静态托管安全配置页面
  2. 开启防盗链功能开关
  3. 选择防盗链策略:
    • 黑名单模式:除名单内的来源外,其他来源均可访问
    • 白名单模式:仅允许名单内的来源访问,其他来源均被拒绝

配置规则说明

  • 来源 Referer 支持多条记录,每行一条,用换行符分隔
  • 支持域名或 IP 格式,如:example.com192.168.0.1
  • 支持通配符()匹配子域名,如:`.cloudbase.net*.example.com`
  • 支持路径匹配,如:example.com/path/*

空 Referer 处理

您可以选择是否允许空 Referer 访问:

  • 允许空 Referer:直接访问(如地址栏输入URL)或某些特殊请求没有 Referer 信息时允许访问
  • 禁止空 Referer:拒绝所有没有来源信息的请求

应用场景

  • 防止图片、视频等静态资源被其他网站直接引用
  • 保护网站专有内容不被未授权的第三方嵌入
  • 控制内容分发渠道,确保资源只在授权的网站上展示

IP 黑白名单配置

IP 黑白名单功能允许您精确控制哪些 IP 地址或网段可以访问您的静态网站资源,是保障网站安全的重要手段。

配置步骤

  1. 在云开发控制台中,通过【环境配置】-【安全管控】,进入静态托管安全配置页面
  2. 开启 IP 黑白名单功能开关
  3. 选择 IP 控制策略:
    • 黑名单模式:阻止名单中的 IP 访问,其他 IP 均可访问
    • 白名单模式:仅允许名单中的 IP 访问,其他 IP 均被拒绝

配置规则说明

  • 支持添加多个 IP 地址或网段,每行一条,用换行符分隔
  • 单个 IP 格式:192.168.0.1
  • IP 网段格式(CIDR 表示法):192.168.0.0/24(表示 192.168.0.0-192.168.0.255 范围内的所有 IP)
  • 支持 IPv4 和 IPv6 地址格式

应用场景

  • 限制只允许公司内网 IP 访问管理后台
  • 阻止已知的恶意 IP 访问网站资源
  • 针对特定地区或网络运营商进行访问控制
  • 创建测试环境时限制只允许开发团队访问

IP 访问限频配置

访问限频功能通过限制单个 IP 在特定时间内对静态托管资源的请求总次数,有效防止恶意爬虫、DDoS 攻击等高频访问行为,保障网站的稳定运行。

⚠️ 注意:IP 访问限频是针对静态托管资源请求的总次数限制,而不是单个文件的请求次数限制。

配置步骤

  1. 在云开发控制台中,通过【环境配置】-【安全管控】,进入静态托管安全配置页面
  2. 开启 IP 访问限频功能开关
  3. 设置 QPS(每秒查询率)阈值,建议根据页面资源数量合理设置

限频机制详解

计算原理

  • 系统按照 IP 维度统计对所有静态托管资源的访问频率
  • 每个静态资源请求(HTML、CSS、JS、图片等)都会独立计入该 IP 的访问次数
  • 当单个 IP 的访问频率超过设定阈值时,超出部分的请求将被拒绝(返回 514 状态码)
  • 限频计算采用滑动时间窗口算法,精确控制访问频率

实际案例说明

假设您有一个网页包含以下资源:

  • 1 个 HTML 文件(index.html)
  • 3 个 CSS 文件
  • 5 个 JS 文件
  • 10 个图片文件

当用户访问这个页面时,浏览器会发起 19 个请求(1+3+5+10)来加载所有资源。

配置示例:

  • 如果设置 QPS 限制为 2 次/秒,那么在加载页面时会有 17 个请求被拒绝,导致页面显示异常
  • 如果设置 QPS 限制为 20 次/秒,则可以正常加载完整页面
  • 建议根据页面最大资源数量设置合适的 QPS 值,通常为页面资源数的 1.5-2 倍

QPS 设置建议

页面类型平均资源数建议 QPS 设置说明
简单页面5-10 个20-30基础 HTML + 少量 CSS/JS
普通网站15-30 个50-80包含图片、样式、脚本等
富媒体页面50+ 个100-200大量图片、视频、复杂交互

应用场景

  • 防止恶意爬虫大量抓取网站内容
  • 抵御简单的 DDoS 攻击
  • 保护静态资源不被过度访问
  • 防止资源下载滥用

常见问题

Q:为什么页面加载时出现 514 错误?
A:可能是 QPS 设置过低,导致页面资源请求超出限制。建议检查页面资源数量,适当提高 QPS 阈值。

Q:如何确定合适的 QPS 值?
A:可以通过浏览器开发者工具查看页面加载的资源数量,然后设置为资源数的 1.5-2 倍作为初始值,再根据实际访问情况调整。

最佳实践

安全配置组合策略

根据不同的应用场景,可以组合使用以上安全配置,构建多层次的安全防护体系:

  1. 公开网站

    • 开启防盗链(白名单模式),允许空 Referer
    • 开启 IP 黑名单,阻止已知恶意 IP
    • 设置适当的访问限频阈值(如 100-300 QPS)

  2. 企业内部应用

    • 开启 IP 白名单,仅允许企业网络访问
    • 开启防盗链(白名单模式),不允许空 Referer
    • 设置较高的访问限频阈值

  3. 资源分发网站

    • 严格的防盗链白名单配置
    • 适当的 IP 访问限频
    • 针对高频下载资源设置特殊的访问控制规则

监控与调整

定期检查访问日志和安全配置效果,根据实际情况调整安全策略:

  • 分析被拒绝的请求模式,识别潜在的安全威胁
  • 根据业务增长适时调整访问限频阈值
  • 定期更新 IP 黑白名单,移除过时规则

通过合理配置静态托管的安全选项,您可以有效保护网站资源,提升访问体验,降低安全风险。