- Văn bản
- Lịch sử
WhitelistingAnother possible method
Whitelisting
Another possible method for allowing only requests from your CDN is to whitelist the CDN. This should work well in theory, but in practice it is difficult to do effectively. You can whitelist IP addresses or some unique identifier in a request header.
Option A: whitelist IP addresses
The challenge with whitelisting on IP address is that you need to always have the IPs of all the CDN edge servers that may hit your origin. This is bound to fail. Many CDNs will not give you the list of IPs and if they do, it will surely happen that they add an IP address and forget to tell you.
Whitelist a unique identifier in a request header
The idea is simple: the CDN sends something unique in the requests to the origin that you can use on the origin to identify the CDN and allow the requests. You would have to ask your CDN provider about the possibilities in order to find out if this is a viable option for you. But, even if they support this, it is not bulletproof. Request headers can be freely set by attackers. If they know you use a certain CDN and they know how that CDN identifies itselt on the origin, they can easily spoof this.
Option B: unguessable origin hostname
This is a simple trick and it is also the best solution. Create some random, long set of alphanumeric characters and use that as the subdomain. Example: 205ck07023nckhfsh92485.example.com. This hostname will then be only known to the CDN, the owner of the origin and the origin's DNS provider(s). Can it be guessed? Yes, but highly unlikely. Can it leak? Yes, but again: highly unlikely.
Simply whitelist for requests that have this hostname in the HOST header and you're done.
Another possible method for allowing only requests from your CDN is to whitelist the CDN. This should work well in theory, but in practice it is difficult to do effectively. You can whitelist IP addresses or some unique identifier in a request header.
Option A: whitelist IP addresses
The challenge with whitelisting on IP address is that you need to always have the IPs of all the CDN edge servers that may hit your origin. This is bound to fail. Many CDNs will not give you the list of IPs and if they do, it will surely happen that they add an IP address and forget to tell you.
Whitelist a unique identifier in a request header
The idea is simple: the CDN sends something unique in the requests to the origin that you can use on the origin to identify the CDN and allow the requests. You would have to ask your CDN provider about the possibilities in order to find out if this is a viable option for you. But, even if they support this, it is not bulletproof. Request headers can be freely set by attackers. If they know you use a certain CDN and they know how that CDN identifies itselt on the origin, they can easily spoof this.
Option B: unguessable origin hostname
This is a simple trick and it is also the best solution. Create some random, long set of alphanumeric characters and use that as the subdomain. Example: 205ck07023nckhfsh92485.example.com. This hostname will then be only known to the CDN, the owner of the origin and the origin's DNS provider(s). Can it be guessed? Yes, but highly unlikely. Can it leak? Yes, but again: highly unlikely.
Simply whitelist for requests that have this hostname in the HOST header and you're done.
0/5000
WhitelistingPhương pháp khác có thể cho phép chỉ yêu cầu từ CDN của bạn là danh sách trắng các CDN. Điều này nên hoạt động tốt trong lý thuyết, nhưng trong thực tế nó là khó khăn để làm có hiệu quả. Bạn có thể địa chỉ IP danh sách trắng hoặc một số định danh duy nhất trong một tiêu đề yêu cầu.Lựa chọn A: địa chỉ IP danh sách trắngThách thức với whitelisting trên địa chỉ IP là bạn cần phải luôn luôn có IP của tất cả các CDN cạnh các máy chủ mà có thể nhấn nguồn gốc của bạn. Điều này chắc chắn sẽ thất bại. Nhiều CDNs sẽ không cung cấp cho bạn danh sách các IP và nếu họ làm, nó chắc chắn sẽ xảy ra rằng họ thêm một địa chỉ IP và quên để cho bạn biết.Danh sách trắng một định danh duy nhất trong một tiêu đề yêu cầuÝ tưởng là đơn giản: các CDN sẽ gửi một cái gì đó duy nhất trong các yêu cầu nguồn gốc mà bạn có thể sử dụng trên nguồn gốc để xác định các CDN và cho phép các yêu cầu. Bạn sẽ phải yêu cầu nhà cung cấp CDN của bạn về các khả năng để tìm hiểu xem đây là một lựa chọn cho bạn. Tuy nhiên, ngay cả khi họ hỗ trợ điều này, nó không phải là chống đạn. Đầu đề yêu cầu có thể được thiết lập một cách tự do bởi kẻ tấn công. Nếu họ biết bạn sử dụng một đô la Canada nhất định và họ biết làm thế nào đó CDN xác định itselt về nguồn gốc, họ có thể dễ dàng spoof đây.Lựa chọn B: unguessable nguồn gốc tên máyĐây là một mẹo đơn giản, và nó cũng là giải pháp tốt nhất. Tạo một số ngẫu nhiên, dài tập các ký tự chữ và số và sử dụng như là các tên miền phụ. Ví dụ: 205ck07023nckhfsh92485.example.com. Tên máy này sau đó sẽ được biết đến chỉ để CDN, chủ sở hữu của nguồn gốc và của nguồn gốc DNS provider(s). Có thể nó được đoán? Có, nhưng rất khó. Có thể nó rò rỉ? Có, nhưng một lần nữa: rất khó.Danh sách trắng chỉ đơn giản là để yêu cầu có này tên miền máy chủ trong các tiêu đề máy chủ và bạn đã hoàn tất.
đang được dịch, vui lòng đợi..
Danh sách trắng
Một phương pháp có thể cho phép chỉ có yêu cầu từ CDN của bạn là danh sách trắng của CDN. Điều này sẽ làm việc tốt trên lý thuyết, nhưng trong thực tế nó là khó khăn để có hiệu quả. Bạn có thể lập danh sách trắng địa chỉ IP hoặc một số định danh duy nhất trong một tiêu đề yêu cầu. Lựa chọn A: địa chỉ IP danh sách trắng Thách thức với danh sách trắng về địa chỉ IP mà bạn cần phải luôn luôn có IP của tất cả các máy chủ CDN cạnh đó có thể đạt nguồn gốc của bạn. Đây là ràng buộc để thất bại. Nhiều CDN sẽ không cung cấp cho bạn danh sách các khu công nghiệp và nếu họ làm, nó chắc chắn sẽ xảy ra rằng họ thêm một địa chỉ IP và quên nói với bạn. Whitelist một định danh duy nhất trong một tiêu đề yêu cầu Ý tưởng rất đơn giản: CDN sẽ gửi một cái gì đó độc đáo trong các yêu cầu về nguồn gốc mà bạn có thể sử dụng trên các nguồn gốc để xác định các CDN và cho phép các yêu cầu. Bạn sẽ phải yêu cầu nhà cung cấp CDN của bạn về các khả năng để tìm hiểu xem đây là một lựa chọn khả thi cho bạn. Nhưng, ngay cả khi họ hỗ trợ này, nó không phải là chống đạn. Tiêu đề yêu cầu có thể được tự do thiết lập bởi những kẻ tấn công. Nếu họ biết bạn sử dụng một CDN nhất định và họ biết làm thế nào mà xác định được cho chính nó CDN về nguồn gốc, họ có thể dễ dàng giả mạo này. Lựa chọn B: hostname nguồn gốc unguessable Đây là một thủ thuật đơn giản và nó cũng là giải pháp tốt nhất. Tạo một số ngẫu nhiên, lâu bộ ký tự chữ và sử dụng như các tên miền phụ. Ví dụ: 205ck07023nckhfsh92485.example.com. Tên máy chủ này sau đó sẽ được chỉ được biết đến với CDN, chủ sở hữu về nguồn gốc và cung cấp dịch vụ DNS của nguồn gốc (s). Nó có thể được đoán? Có, nhưng rất khó. Nó có thể bị rò rỉ? Có, nhưng một lần nữa:. Không cao, chỉ cần lập danh sách trắng cho các yêu cầu mà có tên máy chủ này trong tiêu đề HOST và bạn đang làm.
Một phương pháp có thể cho phép chỉ có yêu cầu từ CDN của bạn là danh sách trắng của CDN. Điều này sẽ làm việc tốt trên lý thuyết, nhưng trong thực tế nó là khó khăn để có hiệu quả. Bạn có thể lập danh sách trắng địa chỉ IP hoặc một số định danh duy nhất trong một tiêu đề yêu cầu. Lựa chọn A: địa chỉ IP danh sách trắng Thách thức với danh sách trắng về địa chỉ IP mà bạn cần phải luôn luôn có IP của tất cả các máy chủ CDN cạnh đó có thể đạt nguồn gốc của bạn. Đây là ràng buộc để thất bại. Nhiều CDN sẽ không cung cấp cho bạn danh sách các khu công nghiệp và nếu họ làm, nó chắc chắn sẽ xảy ra rằng họ thêm một địa chỉ IP và quên nói với bạn. Whitelist một định danh duy nhất trong một tiêu đề yêu cầu Ý tưởng rất đơn giản: CDN sẽ gửi một cái gì đó độc đáo trong các yêu cầu về nguồn gốc mà bạn có thể sử dụng trên các nguồn gốc để xác định các CDN và cho phép các yêu cầu. Bạn sẽ phải yêu cầu nhà cung cấp CDN của bạn về các khả năng để tìm hiểu xem đây là một lựa chọn khả thi cho bạn. Nhưng, ngay cả khi họ hỗ trợ này, nó không phải là chống đạn. Tiêu đề yêu cầu có thể được tự do thiết lập bởi những kẻ tấn công. Nếu họ biết bạn sử dụng một CDN nhất định và họ biết làm thế nào mà xác định được cho chính nó CDN về nguồn gốc, họ có thể dễ dàng giả mạo này. Lựa chọn B: hostname nguồn gốc unguessable Đây là một thủ thuật đơn giản và nó cũng là giải pháp tốt nhất. Tạo một số ngẫu nhiên, lâu bộ ký tự chữ và sử dụng như các tên miền phụ. Ví dụ: 205ck07023nckhfsh92485.example.com. Tên máy chủ này sau đó sẽ được chỉ được biết đến với CDN, chủ sở hữu về nguồn gốc và cung cấp dịch vụ DNS của nguồn gốc (s). Nó có thể được đoán? Có, nhưng rất khó. Nó có thể bị rò rỉ? Có, nhưng một lần nữa:. Không cao, chỉ cần lập danh sách trắng cho các yêu cầu mà có tên máy chủ này trong tiêu đề HOST và bạn đang làm.
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- mục II ờ các trang sau là thành phần của
- need to be cooked separately
- Ah oui.bien sur.je travaille beaucoup.je
- tôi đang mặc 1 chiếc áo phông đẹp
- consider a mixed pasta salad
- mục II ờ các trang sau là thành phần của
- Tải trọng gió
- Ngoại hình của tôi không đẹp
- Được ngắm nhìn bạn là mụn sẽ không có nữ
- あ俊花瓶も乙くるね
- Specification: CPU: ActionsMicro AM8253
- tính giá thành
- hợp đồng thầu phụ
- Look on the Bright SideDo you ever wish
- tính toán dầm neo thanh PC D36
- Ability to Perform: Includes having the
- local grocery
- This thing cost me $199.00 so, please, s
- - Kết quả thẩm định giá có hiệu lực tron
- Những ứng dụng không ngờ từ dầu gội khô
- defining
- Nếu sử dụng MSS thì mỗi nhân viên được c
- Tool mobilization
- tại sao khi đã thỏa mãn người ta sẵn sàn
