php設置訪問白名單

A. php 網站，在伺服器上面，輸入域名可以訪問，但是輸入ip就訪問不了

不一定是你配置或者機器的問題.而是機房限制了用IP直接訪問網站.按照國內工信部的要求.網站在國內域名是需要備案的.所以為了方便管理.機房會設置有白名單.備案後的域名提交白名單才可以正常訪問.而用IP直接訪問也就對這項管理有所沖突.另外直接用IP訪問也對機器安全有所影響.所以很多機房不允許直接用IP訪問網站.建議你可以找服務商問一下.再根據原因去處理

B. PHP如何做好最基礎的安全防範

PHP如何做好最基礎的安全防範

php給了開發者極大型核的靈活性，但是這也為茄租沒安全問題帶來了潛在的隱患，PHP如何做好最基礎的安全防範呢？下面我為大家解答一下，希望能幫到您！

當開發一個互聯網服務的時候，必須時刻牢記安全觀念，並在開發的代碼中體現。PHP腳本語言對安全問題並不關心，特別是對大多數沒有經驗的開發者來說。每當你講任何涉及到錢財事務等交易問題時，需要特別注意安全問題的考慮，例如顫納開發一個論壇或者是一個購物車等。

安全保護一般性要點

不相信表單

對於一般的javascript前台驗證，由於無法得知用戶的行為，例如關閉了瀏覽器的javascript引擎，這樣通過POST惡意數據到伺服器。需要在伺服器端進行驗證，對每個php腳本驗證傳遞到的數據，防止XSS攻擊和SQL注入。

不相信用戶

要假設你的網站接收的每一條數據都是存在惡意代碼的，存在隱藏的威脅，要對每一條數據都進行清理

關閉全局變數

在php.ini文件中進行以下配置：

register_globals = Off

如果這個配置選項打開之後，會出現很大的安全隱患。例如有一個process.php的腳本文件，會將接收到的數據插入到資料庫，接收用戶輸入數據的表單可能如下：

< input name="username" type ="text" size = "15" maxlength = "64" >

這樣，當提交數據到process.php之後，php會注冊一個$username變數，將這個變數數據提交到process.php，同時對於任何POST或GET請求參數，都會設置這樣的變數。如果不是顯示進行初始化那麼就會出現下面的問題：

<?php

// Define $authorized = true only if user is authenticated

if

(authenticated_user()) {

$authorized = true;

}

?>

此處，假設authenticated_user函數就是判斷$authorized變數的值，如果開啟了register_globals配置，那麼任何用戶都可以發送一個請求，來設置$authorized變數的值為任意值從而就能繞過這個驗證。所有的這些提交數據都應該通過PHP預定義內置的全局數組來獲取，包括$_POST、$_GET、$_FILES、$_SERVER、$_REQUEST等，其中$_REQUEST是一個$_GET/$_POST/$_COOKIE三個數組的聯合變數，默認的順序是$_COOKIE、$_POST、$_GET。

推薦的安全配置選項

error_reporting設置為Off：不要暴露錯誤信息給用戶，開發的時候可以設置為ON

safe_mode設置為Off

register_globals設置為Off

將以下函數禁用：system、exec、passthru、shell_exec、proc_open、popen

open_basedir設置為 /tmp ，這樣可以讓session信息有存儲許可權，同時設置單獨的網站根目錄expose_php設置為Offallow_url_fopen設置為Offallow_url_include設置為Off

SQL注入攻擊

對於操作資料庫的SQL語句，需要特別注意安全性，因為用戶可能輸入特定語句使得原有的SQL語句改變了功能。類似下面的例子：

$sql ="select * from pinfo where proct = '$proct'";

此時如果用戶輸入的$proct參數為：'39'; DROP pinfo; SELECT 'FOO

那麼最終SQL語句就變成了如下的`樣子：

select proct from pinfo where proct = '39';

DROP pinfo;

SELECT 'FOO'

這樣就會變成三條SQL語句，會造成pinfo表被刪除，這樣會造成嚴重的後果。這個問題可以簡單的使用PHP的內置函數解決：

$sql = 'Select * from pinfo where proct = '"' mysql_real_escape_string($proct) . '"';

防止SQL注入攻擊需要做好兩件事：對輸入的參數總是進行類型驗證對單引號、雙引號、反引號等特殊字元總是使用mysql_real_escape_string函數進行轉義但是，這里根據開發經驗，不要開啟php的Magic Quotes，這個特性在php6中已經廢除，總是自己在需要的時候進行轉義。

防止基本的XSS攻擊

XSS攻擊不像其他攻擊，這種攻擊在客戶端進行，最基本的XSS工具就是防止一段javascript腳本在用戶待提交的表單頁面，將用戶提交的數據和cookie偷取過來。XSS工具比SQL注入更加難以防護，各大公司網站都被XSS攻擊過，雖然這種攻擊與php語言無關，但可以使用php來篩選用戶數據達到保護用戶數據的目的，這里主要使用的是對用戶的數據進行過濾，一般過濾掉HTML標簽，特別是a標簽。下面是一個普通的過濾方法：

function transform_HTML( $string , $length null) { // Helps prevent XSS attacks

// Remove dead space.

$string = trim( $string );

// Prevent potential Unicode codec problems.

$string = utf8_decode( $string );

// HTMLize HTML-specific characters.

$string = htmlentities( $string , ENT_NOQUOTES);

$string = str_replace ( "#" , "#" , $string );

$string = str_replace ( "%" , "%" , $string );

$length = intval ( $length );

if ( $length > 0) {

$string = substr ( $string , 0, $length );

}return $string ;

}

這個函數將HTML的特殊字元轉換為了HTML實體，瀏覽器在渲染這段文本的時候以純文本形式顯示。如bold會被顯示為： BoldText 上述函數的核心就是htmlentities函數，這個函數將html特殊標簽轉換為html實體字元，這樣可以過濾大部分的XSS攻擊。但是對於有經驗的XSS攻擊者，有更加巧妙的辦法進行攻擊：將他們的惡意代碼使用十六進制或者utf-8編碼，而不是普通的ASCII文本，例如可以使用下面的方式進行：

這樣瀏覽器渲染的結果其實是：

< a href = "http://host/a.php?variable=" >

< SCRIPT >Dosomethingmalicious

這樣就達到了攻擊的目的。為了防止這種情況，需要在transform_HTML函數的基礎上再將#和%轉換為他們對應的實體符號，同時加上了$length參數來限制提交的數據的最大長度。

使用SafeHTML防止XSS攻擊

上述關於XSS攻擊的防護非常簡單，但是不包含用戶的所有標記，同時有上百種繞過過濾函數提交javascript代碼的方法，也沒有辦法能完全阻止這個情況。目前，沒有一個單一的腳本能保證不被攻擊突破，但是總有相對來說防護程度更好的。一共有兩個安全防護的方式：白名單和黑名單。其中白名單更加簡單和有效。一種白名單解決方案就是SafeHTML，它足夠智能能夠識別有效的HTML，然後就可以去除任何危險的標簽。這個需要基於HTMLSax包來進行解析。安裝使用SafeHTML的方法：

1、前往http://pixel-apes.com/safehtml/?page=safehtml 下載最新的SafeHTML

2、將文件放入伺服器的classes 目錄，這個目錄包含所有的SafeHTML和HTMLSax庫

3、在自己的腳本中包含SafeHTML類文件

4、建立一個SafeHTML對象

5、使用parse方法進行過濾

<?php/* If you're storing the HTMLSax3.php in the /classes directory, along

with the safehtml.php script, define XML_HTMLSAX3 as a null string. */define(XML_HTMLSAX3, '' );// Include the class file.require_once ( 'classes/safehtml.php' );

// Define some sample bad code.

$data = This data would raise an alert

" ;// Create a safehtml object.$safehtml = new safehtml();// Parse and sanitize the data.$safe_data = $safehtml ->parse( $data );// Display result. echo 'The sanitized data is ' . $safe_data ;

?>

SafeHTML並不能完全防止XSS攻擊，只是一個相對復雜的腳本來檢驗的方式。

使用單向HASH加密方式來保護數據

單向hash加密保證對每個用戶的密碼都是唯一的，而且不能被破譯的，只有最終用戶知道密碼，系統也是不知道原始密碼的。這樣的一個好處是在系統被攻擊後攻擊者也無法知道原始密碼數據。加密和Hash是不同的兩個過程。與加密不同，Hash是無法被解密的，是單向的；同時兩個不同的字元串可能會得到同一個hash值，並不能保證hash值的唯一性。MD5函數處理過的hash值基本不能被破解，但是總是有可能性的，而且網上也有MD5的hash字典。

使用mcrypt加密數據MD5 hash函數可以在可讀的表單中顯示數據，但是對於存儲用戶的信用卡信息的時候，需要進行加密處理後存儲，並且需要之後進行解密。最好的方法是使用mcrypt模塊，這個模塊包含了超過30中加密方式來保證只有加密者才能解密數據。

<?php$data = "Stuff you want encrypted" ;

$key = "Secret passphrase used to encrypt your data" ;

$cipher = "MCRYPT_SERPENT_256" $mode = "MCRYPT_MODE_CBC" ;function encrypt( $data, $key , cipher , $mode ) {// Encrypt datareturn (string) base64_encode ( mcrypt_encrypt ( $cipher , substr (md5( $key ),0,mcrypt_get_key_size( $cipher , $mode )), $data , $mode , substr (md5( $key ),0,mcrypt_get_block_size( $cipher , $mode )) ) );

}function decrypt( $data , $key ,$cipher , $mode ) {// Decrypt data

return (string) mcrypt_decrypt ( $cipher , substr (md5( $key ),0,mcrypt_get_key_size( $cipher , $mode )), base64_decode ( $data ), $mode , substr (md5( $key ),0,mcrypt_get_block_size( $cipher , $mode )) );

}?>

mcrypt函數需要以下信息：

1、待加密數據

2、用來加密和解密數據的key

3、用戶選擇的加密數據的特定演算法（cipher：

如 MCRYPT_TWOFISH192

,MCRYPT_SERPENT_256， MCRYPT_RC2

, MCRYPT_DES

, and MCRYPT_LOKI97

）

4、用來加密的模式

5、加密的種子，用來起始加密過程的數據，是一個額外的二進制數據用來初始化加密演算法

6、加密key和種子的長度，使用mcrypt_get_key_size函數和mcrypt_get_block_size函數可以獲取如果數據和key都被盜取，那麼攻擊者可以遍歷ciphers尋找開行的方式即可，因此我們需要將加密的key進行MD5一次後保證安全性。同時由於mcrypt函數返回的加密數據是一個二進制數據，這樣保存到資料庫欄位中會引起其他錯誤，使用了base64encode將這些數據轉換為了十六進制數方便保存。

C. PHP可以做什麼

PHP可以做什麼

PHP屬於後起之秀，吸收了java和c以及perl等語言優點，專注互聯網領域。WEB領域PHP擁有得天獨厚的優勢，WEB領域沒有語言可以和他比。將來一定是互聯網的天下。互聯網離不開WEB，WEB離不開PHP。那麼PHP可以做什麼？一起來看看PHP的用途吧！

PC端網站開發

60%全球互聯網網站採用php技術，80%國內互聯網網站使用php開發。這些網站包含購物網站，政府企業網站，QQ空間，論壇博客等等。

移動端微網站開發

移動設備的普及為移動互聯網的快速發展奠定了基礎!手機淘寶網站，手機京東網站等等， 微信公眾號應用中的微網站。 將來微網站和公眾號肯定會取代APP的地位!

APP後台開發

APP後台開發也是移動互聯網發展的一個產物。大多數網站為了讓用戶在手機上能夠得到更好體驗效果，都加入開發APP的開發行列中。而PHP後端技術將會作為他們的不二選擇。

PHP主要用來做網站開發，許多小型網站都用PHP開發，PHP是開源的，這是使得PHP經久不衰的原因。在電商、社區等方面，PHP具備非常成熟的開源代碼和模板，因此使得PHP應用極為廣泛。

php-fpm的安裝目錄

下面是我的平時的環境搭建php的各種安裝目錄，大家的基本也差不多。

centos等linux平台

1./usr/local/php/php

2./usr/local/php/etc/php.ini

3./usr/local/php/sbin/php-fpm

4./usr/local/php/etc/php-fpm.conf

mac平台

1./usr/bin/php

2./etc/php.ini

3./usr/bin/php-fpm

4./etc/php-fpm.conf

由於我開發以Mac為主，所以就用Mac的環境配置來學習。

php-fpm配置詳解

這是搜索的一份還算算比較詳細的php-fpm.conf配置詳解，我會針對性的修改下，當然php手冊上也有詳細的講解：http://php.net/manual/zh/install.fpm.configuration.php

1.pid = /usr/local/var/run/php-fpm.pid

2.#pid設置，一定要開啟,上面是Mac平台的。默認在php安裝目錄中的var/run/php-fpm.pid。比如centos的在: /usr/local/php/var/run/php-fpm.pid

3.

4.error_log = /usr/local/var/log/php-fpm.log

5.#錯誤日誌，上面是Mac平台的，默認在php安裝目錄中的var/log/php-fpm.log，比如centos的在: /usr/local/php/var/log/php-fpm.log

6.

7.log_level = notice

8.#錯誤級別. 上面的php-fpm.log紀錄的登記。可用級別為: alert（必須立即處理）, error（錯誤情況）, warning（警告情況）, notice（一般重要信息）, debug（調試信息）. 默認: notice.

9.

10.emergency_restart_threshold = 60

11.emergency_restart_interval = 60s

12.#表示在emergency_restart_interval所設值內出現SIGSEGV或者SIGBUS錯誤的php-cgi進程數如果超過 emergency_restart_threshold個，php-fpm就會優雅重啟。這兩個選項一般保持默認值。0 表示 '關閉該功能'. 默認值: 0 (關閉).

13.

14.process_control_timeout = 0

15.#設置子進程接受主進程復用信號的超時時間. 可用單位: s(秒), m(分), h(小時), 或者 d(天) 默認單位: s(秒). 默認值: 0.

16.

17.daemonize = yes

18.#後台執行fpm,默認值為yes，如果為了調試可以改為no。在FPM中，可以使用不同的設置來運行多個進程池。 這些設置可以針對每個進程池單獨設置。

19.

20.listen = 127.0.0.1:9000

21.#fpm監聽埠，即nginx中php處理的地址，一般默認值即可。可用格式為: 'ip:port', 'port', '/path/to/unix/socket'. 每個進程池都需要設置。如果nginx和php在不同的機器上，分布式處理，就設置ip這里就可以了。

22.

23.listen.backlog = -1

24.#backlog數，設置 listen 的半連接隊列長度，-1表示無限制，由操作系統決定，此行注釋掉就行。backlog含義參考：http://www.3gyou.cc/?p=41

25.

26.listen.allowed_clients = 127.0.0.1

27.#允許訪問FastCGI進程的IP白名單，設置any為不限制IP，如果要設置其他主機的nginx也能訪問這台FPM進程，listen處要設置成本地可被訪問的IP。默認值是any。每個地址是用逗號分隔. 如果沒有設置或者為空，則允許任何伺服器請求連接。

28.

29.listen.owner = www

30.listen.group = www

31.listen.mode = 0666

32.#unix socket設置選項，如果使用tcp方式訪問，這里注釋即可。

33.

34.user = www

35.group = www

36.#啟動進程的用戶和用戶組，FPM 進程運行的Unix用戶, 必須要設置。用戶組，如果沒有設置，則默認用戶的組被使用。

37.

38.pm = dynamic

39.#php-fpm進程啟動模式，pm可以設置為static和dynamic和ondemand

40.#如果選擇static，則進程數就數固定的，由pm.max_children指定固定的子進程數。

41.

42.#如果選擇dynamic，則進程數是動態變化的,由以下參數決定：

43.pm.max_children = 50 #子進程最大數

44.pm.start_servers = 2 #啟動時的進程數，默認值為: min_spare_servers + (max_spare_servers - min_spare_servers) / 2

45.pm.min_spare_servers = 1 #保證空閑進程數最小值，如果空閑進程小於此值，則創建新的子進程

46.pm.max_spare_servers = 3 #，保證空閑進程數最大值，如果空閑進程大於此值，此進行清理

47.

48.pm.max_requests = 500

49.#設置每個子進程重生之前服務的請求數. 對於可能存在內存泄漏的第三方模塊來說是非常有用的. 如果設置為 '0' 則一直接受請求. 等同於 PHP_FCGI_MAX_REQUESTS 環境變數. 默認值: 0.

50.

51.pm.status_path = /status

52.#FPM狀態頁面的網址. 如果沒有設置, 則無法訪問狀態頁面. 默認值: none. munin監控會使用到

53.

54.ping.path = /ping

55.#FPM監控頁面的ping網址. 如果沒有設置, 則無法訪問ping頁面. 該頁面用於外部檢測FPM是否存活並且可以響應請求. 請注意必須以斜線開頭 (/)。

56.

57.ping.response = pong

58.#用於定義ping請求的返回相應. 返回為 HTTP 200 的 text/plain 格式文本. 默認值: pong.

59.

60.access.log = log/$pool.access.log

61.#每一個請求的訪問日誌，默認是關閉的。

62.

63.access.format = "%R - %u %t "%m %r%Q%q" %s %f %{mili}d %{kilo}M %C%%"

64.#設定訪問日誌的格式。

65.

66.slowlog = log/$pool.log.slow

67.#慢請求的`記錄日誌,配合request_slowlog_timeout使用，默認關閉

68.

69.request_slowlog_timeout = 10s

70.#當一個請求該設置的超時時間後，就會將對應的PHP調用堆棧信息完整寫入到慢日誌中. 設置為 '0' 表示 'Off'

71.

72.request_terminate_timeout = 0

73.#設置單個請求的超時中止時間. 該選項可能會對php.ini設置中的'max_execution_time'因為某些特殊原因沒有中止運行的腳本有用. 設置為 '0' 表示 'Off'.當經常出現502錯誤時可以嘗試更改此選項。

74.

75.rlimit_files = 1024

76.#設置文件打開描述符的rlimit限制. 默認值: 系統定義值默認可打開句柄是1024，可使用 ulimit -n查看，ulimit -n 2048修改。

77.

78.rlimit_core = 0

79.#設置核心rlimit最大限制值. 可用值: 'unlimited' 、0或者正整數. 默認值: 系統定義值.

80.

81.chroot =

82.#啟動時的Chroot目錄. 所定義的目錄需要是絕對路徑. 如果沒有設置, 則chroot不被使用.

83.

84.chdir =

85.#設置啟動目錄，啟動時會自動Chdir到該目錄. 所定義的目錄需要是絕對路徑. 默認值: 當前目錄，或者/目錄（chroot時）

86.

87.catch_workers_output = yes

88.#重定向運行過程中的stdout和stderr到主要的錯誤日誌文件中. 如果沒有設置, stdout 和 stderr 將會根據FastCGI的規則被重定向到 /dev/null . 默認值: 空.

當然還有一些無關緊要的設置，用到了再說吧。

一些重要的設置

php-fpm進程分配

在之前的文章中就說過了。在fasgcgi模式下，php會啟動多個php-fpm進程，來接收nginx發來的請求，那是不是進程越多，速度就越快呢？這可不一定！得根據我們的機器配置和業務量來決定。

我們先來看下，設定進程的配置在哪裡？

pm = static | dynamic | ondemand

pm可以設置成這樣3種，我們用的最多的就上前面2種。

pm = static 模式

pm = static 表示我們創建的php-fpm子進程數量是固定的，那麼就只有pm.max_children = 50這個參數生效。你啟動php-fpm的時候就會一起全部啟動51(1個主＋50個子)個進程，頗為壯觀。

pm = dynamic 模式

pm = dynamic模式，表示啟動進程是動態分配的，隨著請求量動態變化的。他由 pm.max_children，pm.start_servers，pm.min_spare_servers，pm.max_spare_servers 這幾個參數共同決定。

上面已經講過，這里再重申一下吧：

pm.max_children ＝ 50 是最大可創建的子進程的數量。必須設置。這里表示最多隻能50個子進程。

pm.start_servers = 20 隨著php-fpm一起啟動時創建的子進程數目。默認值：min_spare_servers + (max_spare_servers - min_spare_servers) / 2。這里表示，一起啟動會有20個子進程。

pm.min_spare_servers = 10

設置伺服器空閑時最小php-fpm進程數量。必須設置。如果空閑的時候，會檢查如果少於10個，就會啟動幾個來補上。

pm.max_spare_servers = 30

設置伺服器空閑時最大php-fpm進程數量。必須設置。如果空閑時，會檢查進程數，多於30個了，就會關閉幾個，達到30個的狀態。

到底選擇static還數dynamic?

很多人恐懼症來襲，不知道選什麼好？

一般原則是：動態適合小內存機器，靈活分配進程，省內存。靜態適用於大內存機器，動態創建回收進程對伺服器資源也是一種消耗。

如果你的內存很大，有8-20G，按照一個php-fpm進程20M算，100個就2G內存了，那就可以開啟static模式。如果你的內存很小，比如才256M，那就要小心設置了，因為你的機器裡面的其他的進程也算需要佔用內存的，所以設置成dynamic是最好的，比如：pm.max_chindren = 8, 佔用內存160M左右，而且可以隨時變化，對於一半訪問量的網站足夠了。

慢日誌查詢

我們有時候會經常飽受500,502問題困擾。當nginx收到如上錯誤碼時，可以確定後端php-fpm解析php出了某種問題，比如，執行錯誤，執行超時。

這個時候，我們是可以開啟慢日誌功能的。

slowlog = /usr/local/var/log/php-fpm.log.slow

request_slowlog_timeout = 15s

當一個請求該設置的超時時間15秒後，就會將對應的PHP調用堆棧信息完整寫入到慢日誌中。

php-fpm慢日誌會記錄下進程號，腳本名稱，具體哪個文件哪行代碼的哪個函數執行時間過長：

1.[21-Nov-2013 14:30:38] [pool www] pid 11877

2.script_filename = /usr/local/lnmp/nginx/html/www.quancha.cn/www/fyzb.php

3.[0xb70fb88c] file_get_contents() /usr/local/lnmp/nginx/html/www.quancha.cn/www/fyzb.php:2

通過日誌，我們就可以知道第2行的file_get_contents 函數有點問題，這樣我們就能追蹤問題了。

D. 如何實現網站的防盜鏈

可以基於OSS的防盜鏈，目前OSS提供的防盜鏈的方法主要有兩種：

• 設置Referer。控制台，SDK都可以操作，適合不想寫代碼的用戶，也適合喜歡開發的用戶；
  

• 簽名URL，適合喜歡開發的用戶。 本文會給一個控制台設置Referer防盜鏈的具體事例，也會基於PHP SDK給一個動態生成簽名URL防盜鏈的示例。
  

通過Referer防盜鏈的具體步驟

第一步：進入 OSS 管理控制台界面。

第二步：單擊目標存儲空間的名稱進入存儲空間管理頁面。

第三步：單擊 Bucket 屬性 > 防盜鏈設置。



• 第五步：單擊「提交」保存對防盜鏈的設置。



舉例

對於一個名為test-1-001的存儲空間，設置其referer 白名單為 http://www.aliyun.com。則只有 referer 為http://www.aliyun.com的請求才能訪問oss-example這個存儲空間中的對象。

簽名URL實現步驟

簽名URL的原理和實現方法見OSS開發人員指南授權第三方下載。 簽名URL的實現步驟：

1、將Bucket的許可權設置為私有讀；

2、 根據期望的超時時間(簽名URL失效的時間)生成簽名。

具體實現

第一步：安裝PHP最新代碼，參考PHP SDK文檔；

第二步：實現生成簽名URL並將其放在網頁中，作為外鏈使用的簡單示例：



• <?phprequire 'vendor/autoload.php';#最新PHP提供的自動載入use OSSOssClient;#表示命名空間的使用$accessKeyId="a5etodit71tlznjt3pdx7lch";#AccessKeyId，需要使用用戶自己的$accessKeySecret="secret_key";#AccessKeySecret，需要用用戶自己的$endpoint="oss-cn-hangzhou.aliyuncs.com";#Endpoint，根據Bucket創建的區域來選擇，本文中是杭州$bucket = 'referer-test';#Bucket，需要用用戶自己的$ossClient = new OssClient($accessKeyId, $accessKeySecret, $endpoint);$object = "aliyun-logo.png";#需要簽名的Object$timeout = 300;#期望鏈接失效的時間，這里表示從代碼運行到這一行開始的當前時間往後300秒$signedUrl = $ossClient->signUrl($bucket, $object, $timeout); #簽名URL實現的函數$img= $signedUrl;#將簽名URL動態放到圖片資源中並列印出來$my_html = "<html>";$my_html .= "<img src="".$img. "" />";$my_html .= "<p>".$img."</p>";$my_html .= "</html>";echo $my_html;?>



第三步：通過瀏覽器訪問 多請求幾次會發現簽名的URL會變，這是正常的。主要是因為過期時間的改變導致的。這個過期時間是鏈接失效的時間，是以unix time的形式展示的。 如：Expires=189999，可以將這個時間轉換成本地時間。在Linux下的命令為date -d@189999，也可以在網路上找工具自行轉換。

特別說明

簽名URL可以和Referer白名單功能一起使用。

如果簽名URL失效的時間限制在分鍾內，盜鏈用戶即使偽造了Referer也必須拿到簽名的URL，且必須在有效的時間內才能盜鏈成功。 相比只使用Referer來說，增加了盜鏈的難度。 也就是說簽名URL配合Referer白名單功能，可以增加防盜鏈的效果。

防盜鏈總結，基於OSS的防盜鏈最佳實踐點如下：

• 使用三級域名URL，例如referer-test.oss-cn-hangzhou.aliyuncs.com/aliyun-logo.png，安全性比綁定二級域名更高。三級域名方式能夠提供Bucket級別的清洗和隔離，能夠應對被盜鏈後的流量暴漲的情況，也能避免不同Bucket間的互相影響，最終提高業務可用性；
  

• 如果使用自定義域名作為連接，CNAME也請綁定到三級域名，規則是bucket + endpoint。假如你的bucket名為test，三級域名則為test.oss-cn-hangzhou.aliyuncs.com；
  

• 對Bucket設定盡可能嚴格的許可權類別。例如提供公網服務的Bucket設置為public-read或private，禁止設置為public-read-write。Bucket許可權參見訪問控制；
  

• 對訪問來源進行驗證，根據需要設置合適的Referer白名單；
  

• 如果需要更嚴格的防盜鏈方案，請參考簽名的URL方案；
  

• 記錄Bucket訪問日誌，能夠及時發現盜鏈活動和驗證防盜鏈方案的有效性。 訪問日誌參見設置訪問日誌記錄。