我的阿里云oss每个月跑的流量好多啊,但是网站本身没有啥流量。是不是被盗图了,外部引用了,怎么防止,只能通过网站访问。
是的,几乎可以确定是被盗图/被外部网站盗链引用了,这是OSS流量暴增但网站本身没流量的最常见原因。下面我给你一套阿里云OSS的「防盗链+仅允许你的网站访问」完整配置,直接按步骤操作就能解决。
一、先确认是不是被盗链了
你可以先看这两个数据:
- 高流量的Bucket :比如
taomimi-jiapp当月流量 2.1GB、jiapps-wp20.4GB,但你的网站本身没流量。 - 访问次数:如果访问次数和流量不成正比(比如次数不多但流量巨大),大概率是大文件(图片/视频)被盗链。
二、核心解决方案:配置「Referer防盗链」,只允许你的网站访问
阿里云OSS的防盗链功能,就是专门用来防止其他网站直接引用你的文件的,配置后只有你指定的域名/IP才能访问,其他网站盗链会直接报错。
操作步骤(以你的Bucket为例)
-
进入 阿里云OSS控制台 → 对应Bucket → 权限管理 → 防盗链设置
-
开启「Referer白名单」
-
填写你的域名,格式如下(包括你现在和未来可能用到的):
texthttps://kanlite.xyz https://www.kanlite.xyz http://localhost:3001 http://127.0.0.1:3001 -
勾选「允许空Referer访问」(可选,本地调试、APP直接访问需要;如果你的文件只在网页里引用,可以不勾,更严格)
-
保存设置,1-5分钟生效
三、进阶防护:用「签名URL」+ 私有Bucket,彻底杜绝盗链
如果你的文件是图片/静态资源,防盗链还是有被绕过的可能,终极方案是:
1. 把Bucket设置为「私有读写」
- 路径:Bucket → 权限管理 → 读写权限 → 私有
- 效果:任何人无法直接通过URL访问文件,必须带签名才能访问
2. 服务器端生成「临时签名URL」
你的Node后端可以用阿里云OSS SDK,给每个文件生成带签名的临时URL,比如:
javascript
const OSS = require('ali-oss');
const client = new OSS({
region: 'oss-cn-shanghai',
accessKeyId: '你的AK',
accessKeySecret: '你的SK',
bucket: '你的Bucket名'
});
// 生成10分钟有效的临时访问链接
const url = client.signatureUrl('image/avatar.png', { expires: 600 });
console.log(url);- 这个URL只能在10分钟内使用,别人盗走也无法长期用
- 完全杜绝了盗链和直接下载的可能
四、额外优化:清理旧Bucket/无用文件,减少浪费
- 看一下列表里的
dl-xcx、zhinanzhen这些Bucket,如果已经不用了,直接删除,避免被滥用 - 对每个Bucket做一次文件清理,删除无用的大文件(视频、备份)
- 开启OSS的「访问日志」,后续可以查是哪些IP/Referer在访问你的文件,精准定位盗链来源
五、总结
- 先用 Referer防盗链 快速解决当前问题,成本为0,操作简单
- 长期方案用 私有Bucket + 签名URL,彻底杜绝盗链,适合你的SaaS项目
- 清理无用Bucket和文件,减少不必要的流量消耗