本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
通過阿里云CDN或其他CDN回源OSS報錯時,OSS會返回報錯信息。OSS的報錯信息中包含了敏感信息Bucket域名。如果Bucket域名被暴露,會增加您的OSS Bucket被攻擊的風險。
問題原因
默認配置下,CDN在回源請求OSS內容時,請求Header中的Host值是OSS Bucket域名。OSS在收到錯誤的請求并返回錯誤信息時,會返回請求Header中的Host信息。
默認的阿里云CDN回源Host配置示例如下。
問題示例
例如,如果訪問一個不存在的文件,OSS會觸發404錯誤。在返回的錯誤信息中,會包含Bucket域名。無論是4xx、5xx等其他類型的錯誤,OSS都會在返回的錯誤信息中包含Bucket域名。
404錯誤的錯誤信息示例如下。
解決方案
警告
如果您還未將CDN加速域名與OSS Bucket完成綁定,就修改回源Host,OSS將無法正確處理這個未知Host的請求,從而導致回源失敗并無法獲取所需內容。因此,在修改回源Host之前,請確保已經成功將CDN加速域名與OSS Bucket完成綁定,并測試成功CDN可以正確地回源到OSS獲取內容。具體操作,請參見綁定CDN加速域名。
將CDN的回源Host配置為加速域名,OSS的報錯信息將顯示加速域名而不是Bucket域名,從而隱藏Bucket域名。
具體操作,請參見配置默認回源HOST。
修改后的阿里云CDN回源Host配置示例如下。
OSS報錯信息示例如下。
相關文檔
配置回源Host的方法也適用于其他需要隱藏Bucket域名的場景,例如Nginx反向代理。詳情請參見使用ECS實例反向代理OSS。
文檔內容是否對您有幫助?