Perlindungan hotlink berbasis Referer mencegah situs web tidak sah menyematkan atau menautkan ke resource CDN Anda. Permintaan dari nama domain yang tidak tercantum dalam daftar Anda akan menerima respons HTTP 403.
Secara default, fitur ini tidak diaktifkan—semua situs web dapat mengakses resource Anda. Setelah diaktifkan, Alibaba Cloud CDN memeriksa header Referer pada setiap permintaan masuk dan menolak permintaan yang tidak sesuai dengan aturan Anda.
Daftar hitam dan daftar putih Referer hanya berlaku untuk nama domain publik. Permintaan yang diblokir tetap mencapai titik keberadaan (POPs) Anda, ditolak di sana, dan dicatat dalam log Alibaba Cloud CDN. Anda dikenai biaya untuk transfer data yang dihasilkan saat POPs memblokir permintaan dari klien dalam daftar hitam, serta untuk permintaan HTTPS jika klien meminta resource melalui HTTPS.
Cara kerja
Header Referer dalam permintaan HTTP mengidentifikasi asal permintaan tersebut. Header ini berisi skema, domain, path, dan parameter kueri. Protokol dan domain wajib ada; path dan parameter kueri bersifat opsional.
CDN mengevaluasi setiap permintaan berdasarkan aturan Anda:
Jika
Refererberada dalam daftar hitam—permintaan ditolak (HTTP 403).Jika
Referertidak berada dalam daftar putih—permintaan ditolak (HTTP 403).Jika
Refererberada dalam daftar putih—permintaan diizinkan.
Kasus penggunaan
| Kasus penggunaan | Deskripsi |
|---|---|
| Perlindungan hotlink | Mencegah website lain menyematkan langsung gambar, video, atau aset lain milik Anda. |
| Perlindungan hak cipta | Hanya mengizinkan website yang sah mengakses konten berhak cipta Anda. |
| Manajemen sumber trafik | Mengontrol nama domain mana yang diizinkan menggunakan resource CDN Anda. |
| Penguatan keamanan | Memblokir hotlinking berbahaya dan mencegah resource sensitif dirujuk oleh sumber yang tidak tepercaya. |
Konfigurasi daftar hitam atau daftar putih Referer
Prasyarat
Sebelum memulai, pastikan Anda telah memiliki:
Akun Alibaba Cloud dengan akses ke Konsol Alibaba Cloud CDN
Nama domain CDN yang telah dikonfigurasi untuk akselerasi
Prosedur
Masuk ke Konsol Alibaba Cloud CDN.
Di panel navigasi kiri, klik Domain Names.
Temukan nama domain yang ingin dikelola, lalu klik Manage pada kolom Actions.
Di pohon navigasi kiri, klik Access Control.
Pada tab Referer Black/Whitelist, klik Modify.
Atur parameter yang dijelaskan di bagian Parameters.
Klik OK.
Parameter
| Parameter | Deskripsi |
|---|---|
| Type | Pilih Blacklist atau Whitelist. Keduanya saling eksklusif—konfigurasikan hanya salah satu.- Blacklist: menolak permintaan yang Referer-nya ada dalam daftar.- Whitelist: hanya mengizinkan permintaan yang Referer-nya ada dalam daftar. |
| Rules | Masukkan satu nama domain per baris. Konten tidak boleh melebihi 60 KB. Jangan sertakan awalan protokol—CDN secara otomatis mencocokkan http:// dan https://.- Gunakan *.example.com untuk mencocokkan semua subdomain dari example.com.- Masukkan example.com (tanpa tanda bintang) untuk mencocokkan example.com dan semua subdomain-nya. Saat Anda menambahkan aliyundoc.com, CDN secara otomatis menerapkan aturan tersebut ke semua domain yang cocok dengan *.aliyundoc.com. |
| Redirect URL | (Opsional) Saat permintaan diblokir, CDN mengembalikan HTTP 302 dengan header Location yang diatur ke URL ini. Nilainya harus dimulai dengan http:// atau https:// (misalnya, http://www.example.com). |
| Allow resource URL access from browsers | Jika dipilih, permintaan dengan header Referer kosong diizinkan, terlepas dari konfigurasi daftar hitam atau daftar putih. Header Referer kosong terjadi ketika pengguna memasukkan URL secara langsung, menggunakan bookmark, atau mengakses resource melalui tab browser baru. Lihat Mengapa header Referer kosong pada beberapa permintaan? untuk skenario lainnya. |
| Exact Match | Jika dipilih, pencocokan wildcard implisit dinonaktifkan. example.com hanya mencocokkan example.com, bukan subdomain-nya. |
| Ignore Scheme | Jika dipilih, header Referer tidak diwajibkan dimulai dengan http:// atau https://. Ini memungkinkan pencocokan saat browser menghilangkan protokol (misalnya, selama navigasi dari HTTPS ke HTTP atau dalam konfigurasi privasi tertentu). |
| Rule Condition | Terapkan kondisi aturan yang sudah ada dari Rules Engine untuk mengontrol permintaan mana yang dikenai konfigurasi ini. Lihat Rules engine untuk detail selengkapnya. |
Verifikasi konfigurasi
Gunakan curl untuk menguji aturan Anda. Flag -e mengatur nilai header Referer; -I hanya mengambil header respons.
Contoh berikut menggunakan daftar putih dengan aliyun.com yang telah dikonfigurasi. Parameter Redirect URL, Exact Match, Ignore Scheme, dan Rule Condition tidak dikonfigurasi.
Dengan aliyun.com dalam daftar putih, permintaan yang Referer-nya adalah http://aliyun.com, https://aliyun.com, atau subdomain yang sesuai diizinkan. Semua nilai Referer lainnya ditolak.
Skenario 1: Hanya aturan
Uji permintaan dari domain root:
curl -e http://aliyun.com -I DomainName
Uji permintaan dari subdomain:
curl -e http://sub.aliyun.com -I DomainName
Uji permintaan dari domain yang tidak ada dalam daftar putih:
curl -e http://aIiyun.com -I DomainName
Uji permintaan dengan header Referer kosong:
curl -e " " -I DomainName
Uji permintaan di mana Referer tidak mengandung protokol:
curl -e aliyun.com -I DomainName
Skenario 2: Aturan + Izinkan akses URL sumber daya dari browser
Allow resource URL access from browsers juga dipilih. Dibandingkan dengan skenario 1, permintaan dengan header Referer kosong kini diizinkan.
Uji permintaan tanpa header Referer:
curl -I DomainName
Uji permintaan dengan nilai Referer kosong:
curl -e " " -I DomainName
Skenario 3: Skema Aturan + Abaikan
Ignore Scheme juga dipilih. Dibandingkan dengan skenario 1, permintaan yang Referer-nya tidak menyertakan protokol kini diizinkan.
Uji permintaan dengan Referer tanpa protokol:
curl -e aliyun.com -I DomainName