【最佳实践】巡检项：对象存储（COS）存储桶防盗链（Referer）配置

问题描述

检查腾讯云对象存储 COS 的防盗链配置情况。 当COS存储桶权限为公有读时，如果防盗链出现以下两种情况，可能会导致存储桶出现安全风险。

1. 未开启防盗链配置。
2. 开启防盗链配置，允许了空 Referer 的访问

解决方案

腾讯云对象存储支持防盗链配置，来提升存储桶的安全防护，防止资源被盗用。

防盗链实战配置参考: COS对象存储 - 最佳实践 - 防盗链实践

操作步骤

1. 登录 对象存储控制台，在左侧菜单栏中单击存储桶列表，进入存储桶列表页面。
2. 找到您需要设置防盗链的存储桶，单击其名称，进入存储桶管理页面。
3. 单击安全管理 > 防盗链设置，找到防盗链设置，单击编辑进入可编辑状态。
   
4. 修改当前状态为开启，选择名单类型（黑名单或白名单），设置好相应域名，设置完成后单击保存即可，配置项说明如下：
   
5. 黑名单：拒绝名单内的域名访问存储桶的默认访问地址，若名单内的域名访问存储桶的默认访问地址，则返回403。
6. 白名单：允许名单内的域名访问存储桶的默认访问地址，若名单外的域名访问存储桶的默认访问地址，则返回403。
7. 空 referer：HTTP 请求中，header 为空 referer（即不带 referer 字段或 referer 字段为空）。
8. Referer：支持设置最多10条域名且为相同前缀匹配，每条一行，多条请换行；支持域名、IP 和通配符 * 等形式的地址。示例如下：
9. 配置 www.example.com ：可限制如 www.example.com/123 、 www.example.com.cn 等以 www.example.com 为前缀的地址。
10. 支持带端口的域名和 IP，例如 www.example.com:8080 、 10.10.10.10:8080 等地址。
11. 配置 *.example.com ：可限制 a.b.example.com/123 、 a.example.com 等地址。

注意事项

1. 小程序的网络请求的 referer 是固定格式为： https://servicewechat.com/{appid}/{version}/page-frame.html 。
2. 如果存储桶打开了防盗链限制，并且需要允许小程序加载 COS 图片，请在 COS 控制台 配置防盗链白名单： servicewechat.com 。
3. 如果通过 CDN 域名加速访问，则优先执行 CDN 的防盗链规则，再执行对象存储的防盗链规则。