手把手教你设置阿里云OSS Referer白名单，轻松搞定图片防盗链

你有没有遇到过这样的情况：辛辛苦苦做的网站、精心设计的图片内容，结果被别人直接“搬走”放在他们的网站上？流量白白被蹭，服务器压力还越来越大。更离谱的是，有些小网站甚至把你的图当成自己原创内容来引流，而你却一点好处没捞着。

如果你用的是阿里云OSS（对象存储服务）来存图片、视频这些静态资源，那今天这篇文章就是为你量身定做的。咱们不整那些高大上的术语，就用最接地气的方式，一步一步教你怎么通过设置Referer白名单，把那些“偷图贼”挡在门外，真正实现精准防盗链！

什么是Referer？为啥它能防盗链？

先别被这个词吓到，“Referer”其实就是一个HTTP请求里的小字段，简单说就是浏览器告诉服务器：“我是在哪个网页点进来的”。比如你在A网站看到了一张图，这张图其实是存在阿里云OSS上的，当你打开A网站时，浏览器就会带着“A网站的地址”这个信息去请求这张图。

阿里云OSS就能根据这个“来源地址”来判断：哦，你是从A网站来的，那行，给你看图。但如果有人把这张图的链接复制到B网站上使用，那请求里带的就是B网站的地址。这时候，如果我们在OSS里设置了只允许A网站访问，B网站的用户就看不到图了——这就是防盗链的核心原理。

说白了，就像小区门口的保安，只让登记过的住户和访客进，陌生人一律拦下。Referer白名单，就是你给OSS定的一份“访客名单”。

为什么要设置Referer白名单？光靠URL签名不够吗？

有人可能会说：“我用URL签名不就行了？加个有效期，别人拿不到长期链接。”这话没错，但实际用起来太麻烦了。你想啊，每个图片链接都带一长串参数，页面加载慢不说，维护起来也头疼。而且一旦你要做SEO优化或者分享到社交媒体，这种带时效的链接根本不友好。

而Referer白名单是全局设置，一劳永逸。只要你的网站域名在白名单里，所有用户都能正常访问图片，既不影响体验，又能防外链。尤其是做电商、内容平台、博客这类对图片依赖大的项目，这招简直是必选项。

开始操作：登录OSS控制台，找到你的Bucket

打开浏览器，登录阿里云OSS控制台。如果你有多个Bucket（存储空间），先确认你要保护的是哪一个。比如你的图片都放在叫my-website-images的Bucket里，那就点进去。

进到Bucket详情页后，左侧菜单栏有个“权限管理”，点击展开，找到“跨域设置”和“防盗链”这两个选项。我们今天的主角是“防盗链”。

配置Referer白名单，三步搞定

点击“防盗链”后，你会看到一个表单，核心字段就几个：

• 是否允许空Referer：这个要特别注意！如果你的图片有时候是通过微信、APP内嵌浏览器打开的，这些场景下Referer可能是空的。建议初期先勾选“允许”，等测试没问题后再关闭，避免误伤自己人。
• Referer白名单：这里填你允许访问的域名。比如你的网站是www.myblog.com，就写这个。如果你想连myblog.com也支持，可以多加一行。注意：不需要加http://或https://，直接写域名就行。
• 支持通配符： 可以用来匹配子域名。比如你填.myblog.com，那img.myblog.com、cdn.myblog.com都能访问。

举个真实例子：我之前做个企业官网，用了OSS存产品图册。结果某天发现百度搜我们产品的图，居然出现在一堆垃圾站上，点开一看，人家直接引用我们的OSS外链。后来一查流量，每月额外跑了快20G的外网流出，全是被蹭的。设置了Referer白名单后，第二天外链请求直接归零，省下的钱够买好几杯奶茶了。

常见坑点提醒，别踩雷！

虽然设置很简单，但有几个坑新手容易踩：

1. 忘记加子域名

很多人的网站有多个子域名，比如主站www、图片站img、管理后台admin。如果你只写了www.myblog.com，那从img.myblog.com发的请求也会被拦截。解决办法：要么逐个添加，要么直接写.myblog.com，一劳永逸。

2. HTTPS和HTTP搞混

Referer机制是基于域名的，不区分HTTP和HTTPS。所以你不需要分开写http://myblog.com和https://myblog.com，直接写myblog.com就行。OSS会自动识别。

3. 测试不充分就上线

改完设置别急着关页面，一定要自己亲自测试！打开你网站的不同页面，看看图片还能不能正常加载。最好用手机、电脑、不同浏览器都试试。万一设置错了，用户打不开图，影响的是你的用户体验。

高级技巧：配合CDN使用效果更佳

如果你已经给OSS绑定了CDN加速，那防盗链的效果会更好。因为CDN节点也会继承OSS的Referer规则，这样一来，不仅源站压力小了，外链攻击也会在边缘节点就被拦截，响应更快，成本更低。

而且CDN本身也有Referer过滤功能，你可以双重保险：OSS层做基础防护，CDN层再加一层规则，适合对安全性要求高的场景，比如付费内容、会员专属图片等。

真实案例：一个小博主如何靠防盗链省下上千块

我认识一个做摄影博客的朋友，叫老张。他用OSS存高清原图，每张几MB，一开始没设防盗链。结果半年后一看账单，OSS外网流出流量高达800GB，按标准价格算，光流量费就快1000块了。

后来我帮他看了下，发现90%的请求来源都是些陌生域名，明显是被人当图床用了。我们马上设置Referer白名单，只允许他的博客域名访问。一周后复查，外流流量降到每月50GB以内，节省了80%以上的成本。

老张直呼“早该这么干了”。其实他不是技术小白，只是之前觉得“应该没人会偷我的图”，结果现实狠狠上了一课。

现在行动，还能省钱！

看到这儿，你应该已经明白Referer白名单有多重要了。别等账单出来了才后悔，现在就去你的OSS控制台检查一下设置吧。尤其是正在做项目、准备上线新网站的朋友，这一步千万不能省。

顺便提醒一下，阿里云经常有优惠活动，尤其是新用户或者老用户续费，能省不少。比如现在就有个挺划算的通用优惠券，覆盖ECS、OSS、CDN等多个产品，不管你是买服务器还是加存储，都能用上。

👉 赶紧点击这里领取阿里云优惠券，趁着活动还在，把该省的钱装进口袋！

安全无小事，细节决定成本

设置Referer白名单，看起来只是控制台里点几下的小事，但它背后关系到你的数据安全、用户体验和真金白银的成本。尤其对于个人开发者、中小企业来说，每一分支出都要花在刀刃上。

别觉得“我网站小，没人会盗链”，越是小网站越容易被当成免费资源站。黑客扫一遍，发现你的OSS外链没防护，分分钟拿去当图床，最后你买单。

花5分钟设置一下，换来的是长期的安心和稳定的成本。这才是聪明的技术人该做的事。

好了，教程就到这里。你现在就可以打开阿里云后台，动手设置起来。如果过程中遇到问题，欢迎留言交流。记住：技术不难，贵在动手。