Comment puis-je empêcher le hotlinking sur Amazon S3 sans l'aide d'signé Url?

Est-il de toute façon je peux les empêcher de hotlinking sur Amazon S3 sans l'aide d'signé Url?

InformationsquelleAutor MathOldTimer | 2009-06-04
  1. 11

    Par la mise en place du droit compartiment S3 politique, vous pouvez ajouter la référence politique pour empêcher le hotlink.

    http://s3browser.com/working-with-amazon-s3-bucket-policies.php

    • Merci de poster une réponse ici, plutôt que de les relier à une réponse.
    InformationsquelleAutor Robert Mao
  2. 19

    Vous avez besoin d'un seau, une politique qui permet aux points d'accès à partir de votre domaine(s) et refuse des référents qui ne sont pas de votre les domaines. J'ai trouvé que les images peuvent être avec des liens directs si vous ne comprennent pas le refus explicite - de nombreux guides et des exemples de donner les autoriser la politique et ne mentionnent pas le nier partie.

    Voici ma politique, il suffit de changer SEAU-NOM et VOTRE SITE web à vos propres détails:

    {
  "Version": "2008-10-17",
  "Id": "",
  "Statement": [
    {
      "Sid": "Allow in my domains",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::BUCKET-NAME/*",
      "Condition": {
        "StringLike": {
          "aws:Referer": [
            "http://www.YOUR-WEBSITE.com/*"
          ]
        }
      }
    },
    {
      "Sid": "Deny access if referer is not my sites",
      "Effect": "Deny",
      "Principal": {
        "AWS": "*"
      },
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::BUCKET-NAME/*",
      "Condition": {
        "StringNotLike": {
          "aws:Referer": [
            "http://www.YOUR-WEBSITE.com/*"
          ]
        }
      }
    }
  ]
}
    • Merci pour cette. Cela m'a vraiment aidé et bien travaillé. Ma seule suggestion est que peut-être vous avez juste ajouter une entrée pour "YOUR-WEBSITE.com*" à la réponse juste à couvrir toutes les bases que c'est là que mon hoquet ont été. Bravo pour le script parfait cependant.
    • Cela fonctionne très bien, mais comment puis-je laisser les référents? Lors de la liaison à des images via CSS, le référent est vide et les images ne s'affichent pas.
    • Parfait! Vous m'avez sauvé
    InformationsquelleAutor Ollie Glass
  3. 3

    J'utilise Apache RewriteMap pour remapper les liens relatifs à sélectionner des extensions de fichier -- *.jpg, *.gif, *swf, *.fla pour Cloudfront. Essentiellement, fait que l'url de vos images présentent comme des liens vers votre site. Il n'empêche pas la découverte de la S3/cloudfront url totalement, ajoute une couche de difficulté pour être voleur.

    Peut être vaut la peine d'essayer, appliquer le hotlink restrictions via htaccess avec la méthode ci-dessus en place. Je n'ai pas essayé moi-même.

    • Hein? Ne veut pas dire que chaque image, chaque demande doit aller sur votre serveur avant de pouvoir aller à la CloudFront serveur? Si oui, n'est-ce pas vaincre le point de l'utilisation d'un CDN? (Il ne serait pas vraiment de gros fichiers comme la video, mais pour les images?)
    • La demande sera frappé votre serveur web et le navigateur est dit où il faut aller chercher le fichier, le navigateur, l'historique n'est jamais mis à jour avec l'URL réelle de la CAN. C'est essentiellement le même tour derrière les "routes" dans la plupart des front-end contrôleur de cadres, mais dans ce cas, la demande n'est jamais transmis au serveur d'application, uniquement Apache.
    • si, au lieu de navigateur, téléchargez-managers sont utilisés, ou quelque chose comme curl / wget est utilisé, ne sera pas la redirection être transparent, et ainsi être un moyen d'activer les liens directs ?
    • Désolé pour la réponse tardive. Bien sûr, n'importe quel outil capable de navigation et la compréhension HTTP codes doivent être en mesure de suivre la redirection à la CAN en effet la négation de l'effet de la règle suggérée par maddie. Le meilleur plan d'action est de protéger votre CDN des demandes par la mise en seau politiques comme suggéré par Robert de Mao lien ci-dessus.
    InformationsquelleAutor
  4. 1

    Il y a un bon tutoriel ici. Assurez-vous de vérifier les commentaires, car il y a un caractère espace dans le site web du code qui provoque la solution de ne pas travailler.

    InformationsquelleAutor edrevo
  5. 1

    C'est dans leur officiel docs

    Changement examplebucket à votre seau nom, et example.com à votre domaine.

    "Version":"2012-10-17",
"Id":"http referer policy example",
"Statement":[
  {
    "Sid":"Allow get requests originating from www.example.com and example.com.",
    "Effect":"Allow",
    "Principal":"*",
    "Action":"s3:GetObject",
    "Resource":"arn:aws:s3:::examplebucket/*",
    "Condition":{
      "StringLike":{"aws:Referer":["http://www.example.com/*","http://example.com/*"]}
    }
  }
]
}
    InformationsquelleAutor Fahmi
  6. 0

    Hotlinking est l'une des raisons Amazon créé Cloudfront. Cloudfront est beaucoup beaucoup plus rapidement. J'ai fait un article sur elle, vous pouvez la regarder ici.

    http://blog.sat.iit.edu/2011/12/amazon-aws-s3-vs-cloudwatch-performance-grudgematch/

    edit: S3 et Cloudfront les deux utilisent le même type de seau politique assurez-vous que la demande vient de l'url est correcte. Cloudfront est encore plus rapide si.

    • Cloudfront ne vous empêche pas de hotlinking, ou le respect S3 politiques
    InformationsquelleAutor jeremyjjbrown
  7. -1

    Pas vraiment. Vous pouvez exécuter une instance EC2 et de proxy à travers cela.

    • uhhhhh. pas de. cela va à l'encontre de l'objectif d'un CDN.
    InformationsquelleAutor Joe Beda