V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
awanganddong
V2EX  ›  程序员

app 可以配置 referer 吗

  •  
  •   awanganddong · 2021-06-02 14:33:23 +08:00 · 1253 次点击
    这是一个创建于 1305 天前的主题,其中的信息可能已经有所发展或是发生改变。

    事情是这样的

    现在公司 app 使用的是七牛云 oss 对象存储 (公共 bucket )

    然后源地址被盗刷。每天多跑 1T 下载流量。

    所以想问下大家,有什么思路。

    通过七牛日志是可以排查到一些 IP

    但是手动添加 IP 也不高效。

    所以请问下有什么解决方案

    7 条回复    2021-06-03 22:58:26 +08:00
    hahastudio
        1
    hahastudio  
       2021-06-02 14:35:37 +08:00
    反向代理?反正不能在 app 里暴露你们真实的源地址
    awanganddong
        2
    awanganddong  
    OP
       2021-06-02 14:36:07 +08:00
    现在没有走 cdn, 直接访问的就是图片源地址
    jack778
        3
    jack778  
       2021-06-02 14:45:46 +08:00
    加签名呀,只能在 5 分钟内下载,过期失效
    eason1874
        4
    eason1874  
       2021-06-02 15:38:11 +08:00
    如果是恶意刷你的,对象存储和 CDN 几乎防不了。因为就算开启鉴权链接,你也不能限制访问次数,一个 5 分钟有效链接,只用一个 IP 都可以刷几千次了,每次请求只要到了服务商那里就给你算流量。

    用鉴权链接可以解决一些傻缺爬虫乱爬,要解决人为恶意刷流量,只能用自己的服务器去反代,然后在自己服务器限制。

    你们一天才多 1T 流量,流量不大,可能是爬虫而已,建议先给图片加上临时签名鉴权试试。
    awanganddong
        5
    awanganddong  
    OP
       2021-06-02 19:46:10 +08:00
    是我们 bucket 是公用的,然后有黑产恶意注入文件
    Mitt
        6
    Mitt  
       2021-06-02 22:41:01 +08:00
    @awanganddong #5 注入文件那就是上传出了问题了,可以先签名一个临时文件随机位置并设置到期时间,业务验证通过以后再把临时文件移到正式的位置取消到期时间
    awanganddong
        7
    awanganddong  
    OP
       2021-06-03 22:58:26 +08:00
    现在对七牛接口异或加密,然后用户必须登陆后才可以获取该接口,到期时间也设置了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1813 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 16:21 · PVG 00:21 · LAX 08:21 · JFK 11:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.