app 可以配置 referer 吗

反向代理？反正不能在 app 里暴露你们真实的源地址

现在没有走 cdn, 直接访问的就是图片源地址

加签名呀，只能在 5 分钟内下载，过期失效

如果是恶意刷你的，对象存储和 CDN 几乎防不了。因为就算开启鉴权链接，你也不能限制访问次数，一个 5 分钟有效链接，只用一个 IP 都可以刷几千次了，每次请求只要到了服务商那里就给你算流量。

用鉴权链接可以解决一些傻缺爬虫乱爬，要解决人为恶意刷流量，只能用自己的服务器去反代，然后在自己服务器限制。

你们一天才多 1T 流量，流量不大，可能是爬虫而已，建议先给图片加上临时签名鉴权试试。

是我们 bucket 是公用的，然后有黑产恶意注入文件

@awanganddong #5 注入文件那就是上传出了问题了，可以先签名一个临时文件随机位置并设置到期时间，业务验证通过以后再把临时文件移到正式的位置取消到期时间

现在对七牛接口异或加密，然后用户必须登陆后才可以获取该接口，到期时间也设置了。