OSS+CDN的资费和安全

这篇具有很好参考价值的文章主要介绍了OSS+CDN的资费和安全。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

花费

OSS

  • 存储费用 :0.12元/GB/月
  • 下行流量费用 :0.5元/GB
  • 请求费用 :0.01元/10000次

CDN

  • 下行流量费用:0.24元/GB(梯度计费,用的越多越便宜)
  • 静态HTTPS请求数:0.05元/万次

OSS + CDN

  • CDN流出流量:由CDN收取费用:0.24元/GB
  • CDN回源流出流量:由OSS收取费用:0.15元/GB
  • 请求费用:由OSS收取费用:0.01元/万次

安全

OSS

防盗链

防盗链通过设置Referer列表(包括白名单Referer和黑名单Referer)以及是否允许空Referer的方式,限制您Bucket内资源的访问来源,避免Bucket内的资源被其他人盗用。

开启防盗链后,OSS会根据请求Header中的Referer地址判断访问来源的方式,确定是否允许当前请求。具体流程如下图所示。

oss和cdn,《🌹从零开发短视频电商》,《老李的音视频之路》,安全,数据库,java

  1. 判断请求Referer是否为空。
    • 如果请求Referer为空,则查看是否允许空Referer。
      • 如果允许空Referer,则请求被允许。
      • 如果不允许空Referer,且白名单Referer列表为空,则请求被允许。
      • 如果不允许空Referer,且白名单Referer列表不为空,则请求被拒绝。
    • 如果请求Referer不为空,则执行步骤2。
  2. 判断黑名单Referer列表是否为空。
    • 如果黑名单Referer列表为空,且白名单Referer列表为空,则请求被允许。
    • 如果黑名单Referer列表为空,且白名单Referer列表不为空,则跳过步骤3,执行步骤4。
    • 如果黑名单Referer列表不为空,则执行步骤3。
  3. 遍历黑名单Referer列表。
    • 如果黑名单Referer列表存在匹配条目,则请求被拒绝。
    • 如果黑名单Referer列表不存在匹配条目,则执行步骤4。
  4. 遍历白名单Referer列表。
    • 如果白名单Referer列表存在匹配条目,则请求被允许。
    • 如果白名单Referer列表不存在匹配条目,则请求被拒绝。
跨域设置CORS

同源检测 跨域访问是浏览器出于安全考虑而设置的一个限制,即同源策略,是用于隔离潜在恶意文件的关键安全机制。当A、B两个网站属于不同域时,来自于A网站页面中的JavaScript代码访问B网站时,浏览器会拒绝该访问。

同协议、同域名(或IP)以及同端口视为同域。两个页面的协议、域名和端口(如果指定了端口)相同,则视为同源。下表给出了相对http://www.aliyun.com/org/test.html的同源检测示例:

URL 访问是否成功 原因
http://www.aliyun.com/org/other.html 协议、域名、端口相同
http://www.aliyun.com/org/internal/page.html 协议、域名、端口相同
https://www.aliyun.com/page.html 协议不同(HTTPS)
http://www.aliyun.com:22/dir/page.html 端口不同(22)
http://help.aliyun.com/dir/other.html 域名不同

从上表中可以看出,协议、域名或者端口不同的情况下,浏览器会拒绝该来源的访问。如果要允许这些来源的访问,需要设置跨域规则。

数据加密

CDN

防盗链

配置访问请求来源的域名(即Referer黑名单和白名单),实现对访客身份的识别和过滤,限制访问CDN资源的用户,禁止其他网站引用您的资源链接。

URL鉴权

URL鉴权是指用户按照指定的签名方式对于特定的URL增加鉴权认证,您可以通过自行配置校验鉴权URL中的加密串和时间戳,保护用户站点的资源不被非法站点下载盗用。URL鉴权比Referer防盗链安全性更高,适合于安全密级较高的文件。

  • 源站应用服务器:根据鉴权URL生成规则(包括鉴权算法、密钥)生成鉴权URL返回给客户端。
  • 客户端:发起资源请求,并发送鉴权URL给CDN节点进行验证。
  • CDN节点:对鉴权URL中的鉴权信息(鉴权字符串、时间戳等)进行验证。

示例

1.应用服务器生成如下的URL

原始URL:http://aaa.example.com/video/test.flv

加鉴权后URL:http://cdn.com/video/test.flv?Signature=hmac(timestamp,md5(filePath),key)&Expires=xxxx

  • Expires为将来的某个时间

  • filePath : /video/test.flv

2.CDN查看传入的timestamp看是否是超过30min。

3.CDN按相同的hmac校验是否篡改。

要把key和可支持的过期时间在CDN提前配置好。

Cookie鉴权

签名 Cookie 提供有限的权限和时间用于向一组文件发出请求。

下列情况下,可以使用签名 Cookie

  • 您需要提供对多个受限文件的访问权限。
  • 您不想更改当前网址。
  • 您不希望在每次刷新授权时要更新网址后才能访问内容。

要是客户禁用cookie或不支持cookie的设备就拉了

配置和发布签名 Cookie 的过程分为三个步骤

  • 源站应用服务器:给指定Domain生成鉴权Cookie返回给客户端。
    • Cookie 值: 网址前缀、过期时间、键名称和加密签名
  • 客户端:发起资源请求,并发送URL给CDN节点进行验证。
  • CDN节点:对鉴权Cookie中的鉴权信息(鉴权字符串、时间戳等)进行验证。

示例Cookie:

// 一体
Set-Cookie: Cloud-CDN-Cookie=URLPrefix=aHR0cHM6Ly9tZWRpYS5leGFtcGxlLmNvbS92aWRlb3Mv:Expires=1566268009:KeyName=mySigningKey:Signature=0W2xlMlQykL2TG59UZnnHzkxoaw=; Domain=media.example.com; Path=/; Expires=Tue, 20 Aug 2019 02:26:49 GMT; Secure; HttpOnly
// 分开
Set-Cookie: 
CloudFront-Expires=date and time in Unix time format (in seconds) and Coordinated Universal Time (UTC); 
Domain=optional domain name; 
Path=/optional directory path; 
Secure; 
HttpOnly

Set-Cookie: 
CloudFront-Signature=hashed and signed version of the policy statement; 
Domain=optional domain name; 
Path=/optional directory path; 
Secure; 
HttpOnly

Set-Cookie: 
CloudFront-Key-Pair-Id=public key ID for the CloudFront public key whose corresponding private key you're using to generate the signature; 
Domain=optional domain name; 
Path=/optional directory path; 
Secure; 
HttpOnly

Cookie 中的 DomainPath 属性决定了客户端是否将 Cookie 发送到 Cloud CDN。

  • 明确设置 DomainPath 属性,以匹配您希望从中传送受保护内容的网域和路径前缀,这可能与签发 Cookie 的网域和路径不同(分别是 example.commedia.example.com,或者分别是 /browse/videos)。

  • 对于同一个 DomainPath,请确保您只有一个具有指定名称的 Cookie。

  • 请确保您未签发有冲突的 Cookie,否则可能导致无法在其他浏览器会话(窗口或标签页)中访问内容。

  • 在适用的情况下设置 SecureHttpOnly 标志。 Secure 可确保仅通过 HTTPS 连接发送 Cookie。HttpOnly 会禁止 JavaScript 使用 Cookie。

  • Cookie 特性 ExpiresMax-Age 是可选的。如果您省略这些特性,则 Cookie 会在浏览器会话(标签页或窗口)存在期间保持存在。

    注意:此处提及的 Expires 属性是出现在 Cookie 值之外的属性(如果有)。请勿将此属性与 Cookie 值中必需的 Expires 参数混淆。Cookie 值中包含的 Expires 参数指定 Cloud CDN 允许用户访问受保护内容的时间限制。此时间限制与 Cookie 的有效期无关。

  • 在缓存填充或缓存未命中时,签名 Cookie 会传递到后端服务中定义的源站。请确保首先验证每个请求的签名 Cookie 值,之后再传送内容。

Set-Cookie: =; Domain=; Secure; HttpOnly

  • Expires 设置 cookie 的过期时间(时间戳),这个时间是客户端时间
  • Max-Age 设置 cookie 的保留时长(秒数),同时存在 Expires 和 Max-Age 的话,Max-Age 优先
  • Domain 设置生效的域名,默认就是当前域名,不包含子域名
  • Path 设置生效路径,/ 全匹配
  • Secure 设置 cookie 只在 https 下发送,防止中间人攻击
  • HttpOnly 设置禁止 JavaScript 访问 cookie,防止XSS
  • SameSite 设置跨域时不携带 cookie,防止CSRF
远程鉴权

远程鉴权和URL鉴权的作用一样,都用于保护资源,让资源只被授权成功的用户访问,非授权用户将无法访问。差异点在于URL鉴权是由CDN节点完成鉴权;远程鉴权是用户有自己单独的鉴权服务器,由用户自主管理。

IP黑白名单

可以通过配置访问请求来源的IP地址(即IP黑名单和白名单),来实现对访客身份的识别和过滤,限制访问CDN资源的用户,防止恶意IP盗刷、攻击等问题。

UA黑白名单

User-Agent是访问请求客户端的标识,当您想指定访问的客户端时,可以通过配置User-Agent黑名单和白名单来实现对访客身份的识别和过滤,保证用户只从您允许的客户端访问。

回源服务

验证自己提供给CDN的授权URL,但是无法防止恶意用户直接访问你的回源服务。

自定义私有参数

在云厂商的请求中添加自定义key在请求参数或者Header中。

IP黑白名单

只允许云厂商的IP访问即可。

数据加密

1.回源服务返回为的文件时加密的,携带个keypairId参数

2.登录的用户才返回给他这个keypairid对应的key用于解密文章来源地址https://www.toymoban.com/news/detail-755258.html

到了这里,关于OSS+CDN的资费和安全的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 高防CDN如何保护电商平台的在线支付系统安全

    高防CDN如何保护电商平台的在线支付系统安全?随着移动互联网的快速发展,越来越多的用户选择在手机上进行购物和支付。这种形式的便利性和灵活性推动了电商平台的发展,但同时也给电商平台的安全带来了新的挑战。尤其是在线支付系统,由于其涉及用户的金融信息,

    2024年02月07日
    浏览(58)
  • 如何从零配置腾讯云cdn加速服务?

    开通腾讯云账号并通过实名认证,有关实名认证的更多问题请参考 实名认证基本介绍; 开通 CDN/ECDN 服务; 腾讯云 CDN 支持中国境内和中国境外两个服务区域,目前默认提供按流量小时计费方式。有关计费规则的更多说明,请参考 计费说明。 勾选统一服务条款后,单击开通

    2023年04月17日
    浏览(46)
  • 从零开发短视频电商 单元测试(TestNG)

    官网 : https://testng.org/doc/index.html TestNG是一个基于 Java 的开源测试框架。该框架受到 JUnit 和 NUnit 的启发,但引入了一些新功能,使其更强大且更易于使用。您可以在测试实施期间创建 HTML 报告。它具有分组测试、注释、参数化等功能,有助于更快地创建测试。 TestNG的核心特

    2024年02月15日
    浏览(39)
  • 从零开发短视频电商 Jmeter插件安装和常用插件

    一种是 手动安装各种插件 ,下载对应的jar包,放到libext目录下就可以使用了。 另一种是通过 漂亮的 UI ,jmeter 插件管理器Plugins Manager可以方便的管理其他插件的下载和更新。安装一次插件管理器,它将为您完成所有工作:安装、升级、卸载。 下载地址:https://jmeter-plugins

    2024年02月10日
    浏览(42)
  • CDN与网络安全

    DDoS攻击的影响远不止眼前所见。这些攻击不仅会造成巨大的经济损失,还会对受害公司或组织的声誉和形象产生严重影响。研究表明,受害公司至少需要10个小时才能开始解决攻击,而解除还需要4.5个小时。甚至在检测到攻击之前平均数小时,在缓解措施开始之前还有4.9小时

    2024年02月01日
    浏览(42)
  • aliyun-oss-sdk阿里云OSS视频上传(断点续传)前端实现

    最近上传视频的功能,突然炸了,两年没动的代码,突然不行辽,首次上传成功,后面继续上传就可以,但凡有一次上传失败,再上传文件就不行。 这里博主使用的是凭证上传方式哈。 官方文档:Web(JavaScript)上传SDK 查看了官方文档,确实是提到了,如使用1.5.3之前版本重

    2024年02月07日
    浏览(41)
  • 视频cdn加速1分钟解决视频播放卡顿问题,开启视频秒播时代!

    1.什么是内容分发网络(cdn)? 内容分发网络(Content Delivery Network),是在现有 Internet 中增加的一层新的网络架构,由遍布全国的高性能加速节点构成。这些高性能的服务节点都会按照一定的缓存策略存储您的业务内容,当您的用户向您的某一业务内容发起请求时,请求会被

    2024年01月19日
    浏览(44)
  • CDN安全面临的问题及防御架构

    SQL注入攻击(各开发小组针对密码和权限的管理,和云安全部门的漏洞扫描和渗透测试) Web Server的安全(运营商和云安全部门或者漏洞纰漏第三方定期发布漏洞报告修复,例如:nginx版本号和nginx resolver和空指针等) 带宽消耗型攻击: (无限CC循环请求某些资源、动态CC专打

    2024年02月14日
    浏览(42)
  • 阿里云国际CDN加速图文和视频类网站操作教程

    假设用户A需要加速一个小型的社区网站,加速需求和相关信息如下: 网站域名:c.9he.com。 加速内容:图片和文字为主,同时包含部分视频点播内容。 加速区域:仅中国内地,因为访问该网站的终端用户都集中在中国内地。 其他服务:使用 阿里云OSS存储服务 来存储图片和视

    2024年02月04日
    浏览(42)
  • 阿里云OSS上传视频,可分片上传

    uniappH5实现 阿里云OSS上传视频  示例图: 上传视频完整示例代码: 使用npm安装SDK开发包,安装命令为 accessKeyId 和 accessKeySecret 还有 bucket 替换成你的就行。 multipartUpload 的第一个入参是: 文件路径 + 文件名称 第二个入参是文件对象

    2024年02月01日
    浏览(35)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包