文件服务器的安全性问题

Question

wbpmrck opened this issue 11 years ago · comments

你好，最近在思考如何防止静态文件服务被盗链、或者通过模拟文件请求的方式攻击，不知道有没有什么好办法？

Jackson Tian · Answer 1 · Wed Apr 10 2013 10:02:44 GMT+0800 (China Standard Time)

检查req.headers.refer

Jackson Tian · Answer 2 · Wed Apr 10 2013 10:02:59 GMT+0800 (China Standard Time)

设置白名单。

石头阿凯 · Answer 3 · Wed Apr 10 2013 10:47:05 GMT+0800 (China Standard Time)

1、如果我通过写工具去模拟正确的referer属性呢？
2、通过IP去过滤是否可行?
3、有必要使用url MD5的方式来做动态文件服务验证么

Jackson Tian · Answer 4 · Wed Apr 10 2013 10:59:09 GMT+0800 (China Standard Time)

正常请求（浏览器）都是会传递referer的。
如果用工具模拟，属于攻击，不属于盗链了，这个时候用IP过滤是合理的。
url md5防不住的吧？

石头阿凯 · Answer 5 · Wed Apr 10 2013 12:39:35 GMT+0800 (China Standard Time)

恩，最近也在纠结这个问题。目前打算只做到referer过滤盗链了。攻击的事情交给CDN了