常见问题

如果设置防盗链之后，无法访问OSS资源，请在浏览器中查看Header的Referer值，查看配置是否正确。比如，在Chrome浏览器中按F12键，打开开发者工具，在Network中查看具体请求携带的Referer，检查与对应OSS中设置的Referer是否匹配。如果不匹配，请修改参见OSS防盗链配置注意事项，检查防盗链配置，重新设置防盗链。

说明：如果您设置了不允许Referer为空，访问出现异常，请先查看浏览器返回的Referer，然后在防盗链配置中将其添加相应的链接。

• 问题一：配置防盗链后使用curl命令还是能获取到OSS资源
  • 错误原因：OSS配置防盗链后白名单未生效的原因如下：
    • Bucket的权限为公共读写。
    • 如果使用了CDN加速资源，可能开启了CDN并且没有配置CDN中的Referer。
  • 解决方法：OSS配置防盗链后未生效的解决方法如下：
    1. 检查Bucket的权限是否为公共读写，建议改为私有权限。
    2. 检查是否开启了CDN。CDN的Referer设置不能为空，且防盗链名单需与OSS一致，CDN配置Referer防盗链的方法请参见配置Referer防盗链。
       

       说明 ：如果您使用了CDN加速，Referer建议在CDN上进行配置。因为如果在OSS进行配置，CDN上第一次请求带Referer回源OSS返回正常的文件，CDN上进行缓存，后面即使不带Referer也会响应正常的文件，因此建议在CDN上配置。

    3. 如果问题还是无法解决，请参见由于防盗链异常导致访问CDN返回403错误的解决方法。
       

       注意：调试OSS的Referer时，请先排除CDN的影响，且优先调试OSS的Referer，再调试CDN的Referer。

• 问题二：当Referer配置错误时HTTP访问提示403错误且OSS提示“You are denied by bucket referer policy.”错误
  如果设置的Referer不允许为空，则只有预先设定好的Referer才可以进行访问，其他Referer访问会被拦截。在浏览器中直接请求图片URL时Referer为空，故请求失败返回403错误。如无特殊需求，可将设置改为允许空Referer，详情请参见设置OSS防盗链后访问OSS资源出现“You are denied by bucket referer policy”错误。
• 问题三：*.domain.com可以匹配二级域名，但无法匹配domain.com，另外添加一行domain.com也没效果，如何配置？
  一般的Referer中会带http或者https这样的参数，可以通过Chrome浏览器的开发者模式查看请求的Referer是，然后再进行设置。需要添加http://或https://。
• 问题四：防盗链设置没有生效该如何解决？
  在浏览器中查看Header的Referer，查看配置是否正确。比如，在Chrome浏览器中按F12键，打开开发者工具，在Network中查看具体请求携带的Referer，检查与对应OSS中设置的Referer是否匹配。详情请参见如何验证OSS的Referer防盗链是否生效。

更多信息

Referer的介绍

OSS防盗链是通过Referer来实现的，所以也简称为Refer或refer，Referer详细的介绍及配置请参见防盗链。Referer相关解释与说明如下：

• 什么是Referer
  Referer是HTTP Header的一部分，表示浏览器所访问的前一个页面，可以认为是之前访问页面的链接将浏览器带到了当前页面。
• Referer的作用
  • 防盗链：比如，网站访问自己的图片服务器，图片服务器取到Referer来判断是不是自己的域名，如果是就继续访问，不是则拦截。
  • 数据统计：比如，统计用户是从哪个链接过来访问的。
• Referer为空
  空Referer指的是HTTP请求中Referer头部的内容为空，或者HTTP请求中不包含Referer头部。如果有下面两种情况则Referer为空。
  • 当请求并不是由链接触发产生。比如，直接通过浏览器输入地址打开页面。
  • 从HTTPS页面上的链接访问到非加密的HTTP页面时，在HTTP页面上是检查不到Referer的。

OSS防盗链配置注意事项

在设置防盗链时，需要注意以下事项，更多信息请参见设置防盗链。

• OSS防盗链配置内容包括以下两部分内容：
  • 是否允许Referer字段为空的请求访问。
  • Referer字段白名单。
• OSS防盗链配置中需要注意以下几点：
  • 用户只有通过URL签名或者匿名访问Object时，才会做防盗链验证。如果请求Header中有Authorization字段时，不会做防盗链验证。
  • 一个Bucket可以支持多个Referer参数，这些参数之间由,分隔。
  • Referer参数支持通配符*和?，详细解释可参考通配符说明。
  • 用户可以设置是否允许Referer字段为空的请求访问。
  • 白名单为空时，不会检查Referer字段是否为空（不然所有的请求都会被拒绝）。
  • 白名单不为空，且设置了不允许Referer字段为空的规则，则只有Referer属于白名单的请求被允许，其它请求（包括Referer为空的请求）会被拒绝。
  • 如果白名单不为空，但设置了允许Referer字段为空的规则，则Referer为空的请求和符合白名单的请求会被允许，其它请求都会被拒绝。
  • Bucket的三种权限（private、public-read、public-read-write）都会检查Referer字段。
• 通配符说明：
  • 星号*：代替0个或多个字符。如果正在查找以AEW开头的一个文件，但不记得文件名其余部分，可以输入AEW*，查找以AEW开头的所有文件类型的文件，如AEWT.txt、AEWU.EXE、AEWI.dll等。要缩小范围可以输入AEW*.txt，查找以AEW开头，并以.txt为扩展名的文件，如AEWIP.txt、AEWDF.txt。
  • 问号?：代替一个字符。如果输入love?，查找以love开头的一个字符结尾文件类型的文件，如lovey、lovei等。要缩小范围可以输入love?.doc，查找以love开头，任意一个字符结尾，并以.doc为扩展名的文件，如lovey.doc、loveh.doc。
• 典型配置说明如下：

  • 所有请求都可以访问。

    • 空Referer：允许Referer为空。
    • Referer列表：空。

  • 带有规定的Referer请求或不带Referer的请求才能访问。

    • 空Referer：不允许Referer为空。
    • Referer列表：http://*.oss-cn-beijing.aliyuncs.com，http://*.aliyun.com。

相关文档

其它错误的排除请参见访问OSS时出现403状态码的排查方法。

适用于

• 对象存储OSS