一夜赔掉一套房？使用对象存储托管静态网站如何防止被攻击被刷流量？

哪里的房

@8863824 鹤岗一套房应该还是很容易被刷掉的吧。。

只能开账单告警或者之类的功能, 要硬防很难防.

直接用 vercel ，cf pages 么好了

@JensenQian 试了一下，有用户反应打不开，有些地方要开科技才可以访问。

限流算法应该很常见了吧

@RoccoShi 可能是的，文档翻了个遍，没啥对应的解决方案。这些云厂商，做对象存储的静态网页托管，就没有考虑过会被刷的问题吗，好气哦。

@liuhuan475 是哦，就是没有地方可以配置。

短时间可以用限流算法，长时间的话定时扫描访问日志，再搞个报警

@liuhuan475 大佬你说的限流算法，是可以在对象存储静态页面托管中实现么？

刚看了下，华为云的 OBS 支持对象配置策略

@Akity #5 那还是国内阿里腾讯买个轻量，备案吧
现在有些地方，你除非又备案，服务器在国内才能打得开

@Akity #7 类 s3 的对象存储和 cdn 这种东西，基本上 2b 的，他们那些大公司都有财务和法务，还有合同的，不会在乎被刷和不刷的，个人用户他们才不在乎呢

@liuhuan475 管用么，我看看，大佬牛逼。

@JensenQian 只怪自己太穷。

有一个比较简单的办法：可以在前面套个华为的 CDN ，设置 IP 访问频率限制和请求限速，可以一定程度限制单 IP 狂刷的行为，不过也不能完全满足 OP 的防盗刷的需求。
OBS 和 CDN 之间，用一些请求头鉴权，比如设置回源的 Referer 特定值，在 OBS 策略那边只允许这个特定的 Referer 请求头访问，这样避免绕开 CDN 直接访问 OBS 。
CDN 侧还可以设置防盗链、远程鉴权等措施。

我是腾讯云，配置了 cos 和 cdn
1 、买了资源包，设置用量封顶
2 、随时准备跑路

公司的网站，经常需要被各种爬虫抓取数据，这算不算被刷？

@fox0001 一般不算吧，最多算#访客#太多了，哈哈。 被刷一般是被人发现套了 CDN ，想恶心你的钱包一下。

排除内地访问概率下... 我强推 CF R2 ，计费简单，兼容 S3 API

我直接限流，限额，原先我一晚上也是突然欠费了。

一般不会把， 额度到负得了会自动停把

国内的是先付后用，不存在一套房没有的情况。而且都有 QPS 和 CC 的策略限制。

对象存储不是有个功能，带了指定的 token 才能访问么。

oss 存储被刷的情况确实挺多见的，这种都是用脚本模仿真实 ip 刷的，简称 CC 攻击，好的办法就是限流呗，不过这个可能也会影响用户体验。。要不就是 oss 作为源，上防护吧费用也不高，这方面可以找我，名字就是 V

钱到负的百度云是自动停的, 但貌似七牛云会一直扣钱, 其他的不知道, 我用的 github pages + vercel + 自定义域名, 速度直接起飞

买 cdn 资源包，流量全走 cdn ，cdn 流量不够了，再冲

@zhanlanhuizhang 如果业务激增 岂不是受到影响了

静态网页最简单的方式是用 github pages 托管。
想要不通过服务层，那就先设置一个小众的域名，加一个 CDN 禁止回源，再买个高防 IP 。
感觉最省钱的方式还是阿里云按量买台 ECS 搭配一个后端服务手动做下限流。

@nivalxer 思路不错，学习到了。厉害，大佬。

@mskumiko 只要你到 B 站宣传你的网站，公开你的域名，80%的概率，你会被攻击！

@zhanlanhuizhang 被搞了吗？

@iorilu 如果是负 n 万的时候才给你停呢？

@token10086 可以欠费呀~大佬

@objcat vercel 加自定义域名能防墙对吗，大佬？

@Akity 是的。

@Akity 里面的规则应该够用

@Akity 楼主 最终怎么预防对象存储被刷？