Gunakan aturan Perlindungan hotlink Referer untuk mencegah hotlinking berbahaya terhadap website Anda - ApsaraVideo VOD

Perlindungan hotlink berbasis Referer menggunakan bidang Referer dalam Header permintaan HTTP—seperti daftar putih atau blacklist Referer—untuk menerapkan kontrol akses. Fitur ini mengidentifikasi dan memfilter pengunjung guna mencegah penggunaan sumber daya website Anda tanpa izin. Setelah Anda mengonfigurasi daftar putih atau blacklist Referer, CDN memeriksa setiap permintaan terhadap daftar tersebut dan mengizinkan atau menolak akses. Jika diizinkan, CDN mengembalikan URL resource. Jika ditolak, CDN mengembalikan kode status HTTP 403. Topik ini menjelaskan cara mengonfigurasi Perlindungan hotlink Referer.

Penting

Pada ApsaraVideo VOD, Perlindungan hotlink Referer dinonaktifkan secara default. Artinya, website mana pun dapat mengakses resource Anda.
Setelah Anda menambahkan nama domain ke blacklist atau daftar putih Referer, nama domain wildcard yang sesuai dengan nama domain tersebut akan otomatis ditambahkan ke blacklist atau daftar putih tersebut. Misalnya, jika Anda menambahkan aliyundoc.com ke blacklist atau daftar putih Referer, aturan tersebut berlaku untuk semua nama domain yang sesuai dengan *.aliyundoc.com.
Untuk permintaan Range, browser menambahkan header Referer pada permintaan kedua. Untuk mengizinkan permintaan tersebut, tambahkan domain ke daftar putih Referer.
Setelah mengaktifkan Perlindungan hotlink Referer di ApsaraVideo VOD, tambahkan vod.console.alibabacloud.com ke daftar putih Referer agar dapat melakukan pratinjau video di Konsol ApsaraVideo VOD.

Struktur Referer

Header Referer merupakan komponen dari bagian header dalam permintaan HTTP dan berisi informasi tentang alamat sumber, serta digunakan untuk mengidentifikasi asal permintaan. Header Referer terdiri atas skema, domain, path, dan parameter. Gambar berikut menjelaskan struktur header Referer.

Catatan

Protokol dan nama domain wajib ada, sedangkan path dan parameter kueri bersifat opsional.
Alibaba Cloud memungkinkan Anda hanya menentukan nama domain sebagai Referer dengan memilih Ignore Scheme.

Skenario

Blacklist atau daftar putih Referer cocok untuk skenario berikut:

Perlindungan hak cipta: Untuk melindungi konten berhak cipta di website Anda, Anda dapat menggunakan blacklist atau daftar putih Referer agar hanya website yang berwenang yang dapat mengakses konten tersebut.
Perlindungan hotlink: Daftar putih atau blacklist Referer dapat mencegah resource Anda digunakan oleh website lain.
Peningkatan keamanan website: Hanya nama domain yang termasuk dalam daftar putih Referer yang diizinkan mengakses resource website Anda. Hal ini mencegah hotlinking berbahaya atau pencurian informasi sensitif.
Manajemen sumber trafik: Anda dapat mengelola domain yang diizinkan menggunakan resource Anda. Hal ini menjamin keamanan dan stabilitas website Anda.

Anda dapat menggunakan fitur ini dalam berbagai skenario untuk melindungi aset website, mengelola trafik, dan meningkatkan keamanan website.

Cara kerja

Server memeriksa bidang Referer setiap permintaan dan menolak permintaan jika bidang Referer dalam permintaan tidak sesuai dengan daftar putih yang telah dikonfigurasi sebelumnya. Hal ini membantu menghemat bandwidth dan sumber daya server. Aturan Referer di Alibaba Cloud CDN:

Jika header Referer dalam permintaan termasuk dalam blacklist Referer atau tidak termasuk dalam daftar putih Referer, Alibaba Cloud CDN menolak permintaan tersebut.
Jika header Referer dalam permintaan termasuk dalam daftar putih Referer, Alibaba Cloud CDN mengizinkan permintaan tersebut.

Prosedur

Masuk ke Konsol ApsaraVideo VOD.
Di panel navigasi sebelah kiri, di bawah Configuration Management, klik CDN Configuration > Domain Names.
Pada halaman Domain Names, temukan nama domain target. Klik Actions, lalu klik Configure.
Di panel navigasi sebelah kiri untuk domain tersebut, klik Resource Access Control.
Pada tab Referer Hotlink Protection, klik Modify.

Pilih Blacklist atau Whitelist sesuai kebutuhan.

Parameter	Deskripsi
Type	Blacklist Permintaan yang bidang Referernya termasuk dalam blacklist Referer tidak dapat mengakses resource. Whitelist Hanya permintaan yang bidang Referernya termasuk dalam daftar putih Referer yang dapat mengakses resource. Catatan Daftar putih dan blacklist saling eksklusif. Anda hanya dapat mengonfigurasi salah satu daftar tersebut.
Rules	Anda dapat menambahkan beberapa nama domain ke blacklist atau daftar putih Referer. Pisahkan nama domain dengan karakter carriage return. Anda dapat menggunakan tanda bintang () sebagai wildcard untuk mencocokkan semua nama domain. Misalnya, `.example.com` mencocokkan semua subdomain dari `example.com`. Anda juga dapat menghilangkan tanda bintang () untuk mencocokkan domain tersebut beserta seluruh subdomainnya. Misalnya, `example.com` mencocokkan `example.com` dan `.example.com`. Catatan Konten yang Anda masukkan di bidang Rules tidak boleh melebihi 60 KB. Anda tidak perlu menentukan protokol saat mengonfigurasi aturan.
Redirect URL	Jika permintaan diblokir, kode status HTTP 302 dan header Location akan dikembalikan. Parameter ini adalah nilai header Location. Nilainya harus dimulai dengan `http://` atau `https://`, seperti `http://www.example.com`.
Advanced
Allow resource URL access from browsers	Secara default, kotak centang tidak dipilih. Jika Anda memilih kotak centang ini, permintaan yang berisi header Referer kosong diizinkan mengakses resource CDN, terlepas dari apakah Anda mengonfigurasi blacklist atau daftar putih Referer. Header Referer tidak disertakan dalam permintaan. Header Referer disertakan, tetapi nilainya kosong.
Exact match	Secara default, opsi ini tidak dipilih. Jika dipilih, wildcard (*) tidak lagi didukung untuk pencocokan domain. Misalnya, `example.com` hanya mencocokkan `example.com`—bukan subdomainnya.
Ignore scheme	Jika Anda tidak memilih Ignore Scheme, nilai header Referer harus dimulai dengan http:// atau https://. Jika Anda memilih Ignore Scheme, nilai header Referer tidak perlu dimulai dengan http:// atau https://.

Klik OK untuk menyelesaikan konfigurasi.

Logika pencocokan Referer

Tabel di bawah ini menunjukkan cara kerja pencocokan Referer. Jika permintaan tidak sesuai dengan daftar putih—atau sesuai dengan blacklist—CDN menolak permintaan dan mengembalikan kode status HTTP 403.

Konfigurasi daftar	Referer dalam permintaan	Hasil pencocokan	Logika pencocokan
www.example.com *.example.com	http://www.example.com/img.jpg	Ya	Domain dalam header Referer sesuai dengan entri dalam daftar aturan.
	http://www.example.com:80/img.jpg	Ya
	www.example.com	Untuk informasi lebih lanjut, lihat deskripsi logika pencocokan.	Jika Ignore scheme tidak dipilih, hasilnya Tidak. Header Referer tidak memiliki http:// atau https://. Jika Ignore scheme dipilih, hasilnya Ya.
	http://aaa.example.com	Ya	Hasilnya Ya terlepas dari apakah Exact match dipilih atau tidak.
	http://aaa.bbb.example.com	Lihat penjelasan	Jika Exact match tidak dipilih, hasilnya Ya. Aturan `.example.com` mencocokkan subdomain multi-level. Jika Exact match* dipilih, hasilnya Tidak. Aturan `*.example.com` hanya mencocokkan domain tingkat kedua—bukan domain tingkat tiga.
	http://example.com	Tidak	Domain tingkat kedua dalam header Referer tidak sesuai dengan entri wildcard. Entri wildcard tidak mencakup domain tingkat kedua itu sendiri.
	http://www.example.net	Tidak cocok	Permintaan tidak cocok dengan daftar putih maupun blacklist. Secara default, akses diizinkan.

FAQ

Mengapa header Referer terkadang tidak memiliki http:// atau https://?

Dalam kebanyakan kasus, string HTTP atau HTTPS disertakan dalam header Referer pada permintaan.

Namun, dalam beberapa kasus, ketika browser mengarahkan permintaan dari website yang tidak menggunakan HTTPS ke website yang menggunakan HTTPS, browser mungkin hanya menampilkan nama domain dalam header Referer. Hal ini dilakukan untuk melindungi data pengguna sensitif berdasarkan kebijakan keamanan seperti Referrer-Policy.

Selain itu, beberapa browser atau server proxy mungkin secara otomatis menghapus string Referer dalam skenario tertentu, seperti akses dalam mode penjelajahan pribadi atau melalui proxy anonim.

Oleh karena itu, dalam praktiknya, tangani permintaan yang header Referernya tidak memiliki http:// atau https:// untuk memastikan evaluasi yang tepat.

Mengapa header Referer kosong dalam permintaan? Apa yang harus saya lakukan untuk mengatasi masalah ini?

Dalam kebanyakan kasus, header Referer dalam permintaan berisi URI lengkap, yang mencakup protokol, seperti http atau https, hostname, dan mungkin path serta string kueri. Header Referer dalam permintaan mungkin kosong karena alasan berikut:

Akses langsung: Jika pengguna memasukkan URL di bilah alamat browser, menggunakan bookmark, atau membuka tab browser baru yang kosong, header Referer akan kosong karena tidak ada halaman referensi.
Pengaturan privasi pengguna: Pengguna mengonfigurasi mode penjelajahan pribadi atau menggunakan ekstensi yang berfokus pada privasi untuk menghapus header Referer demi menjaga privasi.
Protokol keamanan: Jika permintaan dialihkan dari halaman HTTPS ke halaman HTTP, browser tidak menampilkan header Referer untuk mencegah kebocoran informasi sensitif.
Kebijakan klien: Untuk tujuan keamanan, beberapa website atau aplikasi mungkin membatasi browser agar tidak mengirim header Referer dengan menentukan tag <meta> atau header HTTP, seperti Referrer-Policy.
Permintaan lintas asal: Permintaan lintas asal tertentu mungkin tidak menyertakan header Referer berdasarkan kebijakan keamanan browser.

Tindakan penanganan bervariasi tergantung skenario dan persyaratan keamanan:

Kebijakan default: Jika layanan Anda tidak bergantung pada header Referer, Anda dapat mengizinkan permintaan yang memiliki header Referer kosong.
Izinkan akses: Untuk URL atau sumber tertentu, Anda dapat memilih Allow resource URL access from browsers untuk hanya mengizinkan permintaan dari URL atau sumber tersebut. Dengan cara ini, POP mengizinkan pengguna mengakses resource Anda terlepas dari apakah header Referer kosong atau tidak.