서비스 리소스의 액세스 출처를 제어할 수 있도록 Tencent Cloud CDN은 referer 링크 도용 방지 설정 기능을 제공합니다.
HTTP Request Header의 referer 필드값에 대한 액세스 제어 정책을 설정함으로써 액세스 출처를 제한하고, 악성 사용자의 도용을 막을 수 있습니다.
설정 가이드
설정 조회
CDN 콘솔에 로그인하여 메뉴에서 [도메인 관리]를 선택하고 도메인 오른쪽의 [관리]를 클릭하면 도메인 설정 페이지로 이동할 수 있습니다. 그 중 두 번째 탭인 [액세스 제어]에서 링크 도용 방지 설정을 확인할 수 있습니다. 링크 도용 방지 설정은 기본적으로 비활성화 상태입니다.
설정 활성화
on-off 스위치를 클릭하여 링크 도용 방지 유형을 선택하고 리스트를 작성한 후, 비어 있는 referer 허용 여부를 선택하고 [OK]를 클릭하면 링크 도용 방지 설정을 활성화할 수 있습니다.
referer 블랙리스트:
요청된 referer 필드가 블랙리스트에 설정된 내용과 일치하는 경우, CDN 노드는 요청 정보를 반환하지 않고 403 상태 코드를 반환합니다.
요청된 referer가 블랙리스트에 설정된 내용과 일치하지 않는 경우, CDN 노드는 요청 정보를 정상적으로 반환합니다.
비어 있는 referer 포함 옵션을 선택했을 때 referer 필드가 비어 있거나 referer 필드가 없는 경우(예: 브라우저 요청) CDN 노드는 요청 정보를 반환하지 않고 403 상태 코드를 반환합니다.
referer 화이트리스트:
요청된 referer 필드가 화이트리스트에 설정된 내용과 일치하는 경우, CDN 노드는 정상적으로 요청 정보를 반환합니다.
요청된 referer 필드가 화이트리스트에 설정된 내용과 일치하지 않는 경우, CDN 노드는 요청 정보를 반환하지 않고 403 상태 코드를 반환합니다.
화이트리스트를 설정하면 CDN 노드는 화이트리스트의 문자열 내용과 일치하는 요청만 반환할 수 있습니다.
비어 있는 referer 포함 옵션을 선택했을 때 referer 필드가 비어 있거나 referer 필드가 없는 경우(예: 브라우저 요청) CDN은 요청 정보를 정상적으로 반환합니다.
설정 규정:
링크 도용 방지는 도메인 네임/IP 규칙을 지원하며 매칭 방식은 접두사 매칭입니다(경로만 지원되는 경우에는 도메인 네임의 접두사 매칭이 지원되지 않음). 즉, 리스트에 www.abc.com가 설정되어 있는 경우, www.abc.com/123은 매칭되지만 www.abc.com.cn은 매칭되지 않고, 리스트에 127.0.0.1이 설정되어 있는 경우 127.0.0.1/123도 매칭됩니다.
링크 도용 방지는 와일드카드 매칭을 지원합니다. 즉, 리스트가 *.qq.com이라고 가정할 때, www.qq.com과 a.qq.com 모두 매칭됩니다.
설정 비활성화
링크 도용 방지 스위치를 통해 원클릭으로 설정을 비활성화할 수 있습니다. 스위치가 비활성화 상태일 경우, 아래에 기존 설정이 존재하더라도 현재 네트워크에 적용되지 않습니다. 차후 활성화 클릭 시, 전체 네트워크에 배포 및 적용하기 전에 우선 설정 여부를 재확인합니다.
리전 특수 설정
사용자의 가속 도메인 서비스 지역이 글로벌 가속이고, 중국 본토 내/외 가속 지역에 각기 다른 referer 링크 도용 방지를 설정하고자 한다면 설정 하단의 [특수 설정 추가]를 클릭하여 설정할 수 있습니다.
주의:
지역 특수 설정을 추가한 후에는, 현재 직접 삭제는 불가능하고, 비활성화를 통해 사용하지 않도록 설정할 수 있습니다.
설정 예시
가속 도메인 www.test.com의 링크 도용 방지 설정이 아래와 같을 경우:
실제 액세스 상황은 다음과 같습니다.
1. 중국 본토 내 사용자의 요청 referer 정보가 1.1.1.1인 경우, 중국 본토 내로 설정된 화이트리스트에 히트하여 내용을 반환합니다.
2. 중국 본토 외 사용자의 요청 referer가 비어있을 경우, 중국 본토 외로 설정된 블랙리스트에 히트하여 403 상태 코드를 반환합니다.
