最近用阿里雲的時候發現一些防盜煉與跨域訪問的一些坑,填完坑之後稍微整理一下。
防盜鍊是利用瀏覽器http請求頭referer,告訴伺服器誰訪問資源,由伺服器作判斷,如果符合一定規則則返回資料,否則返回403。
flash player訪問指定資源之前,訪問根url下的crossdomain.xml,例如訪問資源之前會訪問,由flash player解析並判斷是否可以進行跨域訪問。
crossdomain.xml的範例
<?xml version="1.0"?>
permitted-cross-domain-policies="master-only"/>
domain="*.yy.com"/>
domain="*.yypm.com"/>
domain="*"/>
domain="*.yy.com"
headers="soapaction"/>
cross-domain-policy>
oss和cdn的防盜煉配置是分離的。配置可以分為下面幾種情況:
1. 只配置oss
安全性一般,可能會通過cdn的網域名稱掃瞄到資源,而且會因cdn的快取配置導致有時候200有時候403的情況。
2. 只配置cdn
安全性一般,可能會通過oss的網域名稱掃瞄到資源。
3. oss和cdn都配置但不保持一致
很容易混亂,出問題很難查,不建議。
4. oss和cdn都配置並且保持一致
這是最安全的做法,但保持一致成本較高。
總的來說,1和2的安全性是一致的,所以如果安全性不高選擇2,安全性高則選擇4。
oss和cdn的跨域配置是分離的。配置可以分為下面幾種情況:
1. 只配置oss
安全性一般,可能會通過cdn的網域名稱掃瞄到資源,而且這樣做會因cdn的快取配置導致有時候200有時候403的情況。
2. 只配置cdn
安全性一般,可能會通過oss的網域名稱掃瞄到資源。
3. oss和cdn都配置但不保持一致
很容易混亂,出問題很難查,不建議。
4. oss和cdn都配置並且保持一致
這是最安全的做法,但保持一致成本較高。
總的來說,1和2的安全性是一致的,所以如果安全性不高選擇2,安全性高則選擇4。
nginx配置防盜煉和跨域訪問
防盜煉 乙個 上會有很多的,如果你不希望其他 直接用你的位址訪問自己的,或者希望對有版權保護。不希望被第三方呼叫造成伺服器的負載以及流量消耗等問題,那麼就要做防盜煉。就是不孕去別的 訪問我們的。配置方式 通過zk03 訪問一切正常如下 測試 zk01訪問 測試方式,修改zk01中tomcat 首頁 ...
Nginx跨域訪問場景配置和防盜煉詳解
跨域訪問控制 跨域訪問 為什麼瀏覽器禁止跨域訪問 不安全,容易出現csrf攻擊!如果黑客控制的 b在響應頭里新增了讓客戶端去訪問 a的惡意資訊,就會出現csrf攻擊 nginx如何配置跨域訪問 add header語法 語法解釋 location htm html 防盜煉防盜煉目的 基於http r...
跨域與跨域訪問
跨域是指從乙個網域名稱的網頁去請求另乙個網域名稱的資源。比如從www.baidu.com 頁面去請求 www.google.com 的資源。跨域的嚴格一點的定義是 只要協議,網域名稱,埠有任何乙個的不同,就被當作是跨域 使用者訪問www.mybank.com 登陸並進行網銀操作,這時cookie啥的...