静态托管安全配置
静态托管的安全配置为云开发的静态托管服务提供全方位的安全防护机制,帮助开发者有效保护网站资源,防止恶意访问和资源盗用。通过合理配置以下安全选项,可以显著提升您的静态网站安全性:
- 防盗链配置 - 控制资源访问来源
- IP 黑白名单配置 - 精确管理访问权限
- IP 访问限频配置 - 防止恶意高频请求
防盗链配置
防盗链功能通过识别请求来源(Referer)来判断访问是否合法,有效防止资源被其他网站非法引用,保护您的带宽和流量资源。
配置步骤
- 在云开发控制台中,通过【环境配置】-【安全管控】,进入静态托管安全配置页面
- 开启防盗链功能开关
- 选择防盗链策略:
- 黑名单模式:除名单内的来源外,其他来源均可访问
- 白名单模式:仅允许名单内的来源访问,其他来源均被拒绝
配置规则说明
- 来源 Referer 支持多条记录,每行一条,用换行符分隔
- 支持域名或 IP 格式,如:
example.com、192.168.0.1 - 支持通配符()匹配子域名,如:`.cloudbase.net
、*.example.com` - 支持路径匹配,如:
example.com/path/*
空 Referer 处理
您可以选择是否允许空 Referer 访问:
- 允许空 Referer:直接访问(如地址栏输入URL)或某些特殊请求没有 Referer 信息时允许访问
- 禁止空 Referer:拒绝所有没有来源信息的请求
应用场景
- 防止图片、视频等静态资源被其他网站直接引用
- 保护网站专有内容不被未授权的第三方嵌入
- 控制内容分发渠道,确保资源只在授权的网站上展示
IP 黑白名单配置
IP 黑白名单功能允许您精确控制哪些 IP 地址或网段可以访问您的静态网站资源,是保障网站安全的重要手段。
配置步骤
- 在云开发控制台中,通过【环境配置】-【安全管控】,进入静态托管安全配置页面
- 开启 IP 黑白名单功能开关
- 选择 IP 控制策略:
- 黑名单模式:阻止名单中的 IP 访问,其他 IP 均可访问
- 白名单模式:仅允许名单中的 IP 访问,其他 IP 均被拒绝
配置规则说明
- 支持添加多个 IP 地址或网段,每行一条,用换行符分隔
- 单个 IP 格式:
192.168.0.1 - IP 网段格式(CIDR 表示法):
192.168.0.0/24(表示 192.168.0.0-192.168.0.255 范围内的所有 IP) - 支持 IPv4 和 IPv6 地址格式
应用场景
- 限制只允许公司内网 IP 访问管理后台
- 阻止已知的恶意 IP 访问网站资源
- 针对特定地区或网络运营商进行访问控制
- 创建测试环境时限制只允许开发团队访问
IP 访问限频配置
访问限频功能通过限制单个 IP 在特定时间内的请求次数,有效防止恶意爬虫、DDoS 攻击等高频访问行为,保障网站的稳定运行。
配置步骤
- 在云开发控制台中,通过【环境配置】-【安全管控】,进入静态托管安全配置页面
- 开启 IP 访问限频功能开关
- 设置 QPS(每秒查询率)阈值,如:100次/秒
限频机制说明
- 系统按照 IP 维度统计访问频率
- 当单个 IP 的访问频率超过设定阈值时,超出部分的请求将被拒绝(返回 429 Too Many Requests 状态码)
- 限频计算采用滑动时间窗口算法,精确控制访问频率
应用场景
- 防止恶意爬虫大量抓取网站内容
- 抵御简单的 DDoS 攻击
- 保护 API 端点不被过度调用
- 防止资源下载滥用
最佳实践
安全配置组合策略
根据不同的应用场景,可以组合使用以上安全配置,构建多层次的安全防护体系:
公开网站:
- 开启防盗链(白名单模式),允许空 Referer
- 开启 IP 黑名单,阻止已知恶意 IP
- 设置适当的访问限频阈值(如 100-300 QPS)
企业内部应用:
- 开启 IP 白名单,仅允许企业网络访问
- 开启防盗链(白名单模式),不允许空 Referer
- 设置较高的访问限频阈值
资源分发网站:
- 严格的防盗链白名单配置
- 适当的 IP 访问限频
- 针对高频下载资源设置特殊的访问控制规则
监控与调整
定期检查访问日志和安全配置效果,根据实际情况调整安全策略:
- 分析被拒绝的请求模式,识别潜在的安全威胁
- 根据业务增长适时调整访问限频阈值
- 定期更新 IP 黑白名单,移除过时规则
通过合理配置静态托管的安全选项,您可以有效保护网站资源,提升访问体验,降低安全风险。