加验证码直接解决问题啊

@ck65 @hcsu [Google drive]( https://drive.google.com/drive/folders/1--E_4Eyrl7LaPkEyA5Yr2X6FwlpL7sBL)

想知道数据是哪里来的

@jousca 你好，可否细说下成移这边的商宽价格？

@cloverzrg2 同地域免费呀

看邮件 b2 应该是按成功请求收取费用，不过你可以实验一下。
GetObject 算是 B 类请求，每天前 2500 次免费，然后每 10000 次 4 美分，刷个 13000 次看看扣不扣费就行了。
（我想其实应该没几个闲人见谁打谁吧？也不必太惊慌 :)
另外 @lqf96 提到的 transform rules 应该能解决问题，报错的话再看看 cf 的文档吧

@andstack 是的，正常状态下 CDN 请求数不计费，
我的 3 讨论的是恶意用户绕过 CDN 直接打 COS 的情况。

单靠 COS 本身做不到防刷，另外建议 COS 前边一定要有个 CDN，不管谁家的都行，要不然用不起。（据说海外 COS cf 回源也可以减免流量费，不过我没实践过~）
给几个建议：
1. 储存桶改成私有读，然后每次请求自己签名并负责风控。（如果用腾讯云 cdn 的话也可以配置请求自动签名）（用其他 CDN 的话也可以在 ‘Policy 权限设置’ 里放行对应 CDN 回源 IP ）
2. 要注意不要暴露 COS 默认源站域名，否则可以轻松绕过你的其它措施高效地刷你流量。（记得在 CDN 上拦截掉除 2XX 以外的所有响应，因为响应中会携带储存桶信息）
3. 事实上如果找到你 COS 桶源站域名，就算你每个请求都鉴权，攻击者也可以靠刷请求次数让你破产~（无效请求也要计费）

css 挺方便的 :)

nginx 就可以做到
举个例子

```
server
{
listen 80;
location /A/example_api/ {
http://10.0.0.1:80/example_api/;
proxy_set_header Host $host:$server_port;
}
location /B/example_api/ {
http://10.0.0.2:80/example_api/;
proxy_set_header Host $host:$server_port;
}
}
```

谢谢各位，同样的代码换了台电脑解决了，似乎只有这台电脑遇到了这个问题 :(

@ch2 在其他设备上测试过，这是的确是有效的。

@chenyu0x00 谢谢实践！这俩都是百度的 ip，应该没有区别；问题主要在于 Host 字段不能正确被重写。（但是 headers 指定的其它参数又是正常的，有点迷）

@LeeReamond 虽然没有明白你在说什么...不过还是谢谢了！

网站应该不行；
客户端可以解析得到域名对应 ip 之后直接访问（不过都有客户端了换个端口不好吗？？！ ；
也可以把站建到其它端口上，在国外托管一个 iframe 页面内联国内这个站；
另外，这个检测一般靠的是 Host 标头（ HTTP ）或者 SNI （ HTTPS ），你要上没有几个客户端支持的 ESNI 也行。

@hs0000t 已经放弃人工审查的想法了...东西实在太多
[img]https://z3.ax1x.com/2021/05/08/gJiPRs.png[/img]
每天都能收到警告，腾讯觉得不合适的图片已经被屏蔽了，所以你们现在看到的都是合适的 ：）

@herozzm 腾讯云的回源 ip 可以开工单要到

直接上内容分发网络，便宜够用，动态页面也可以用规则来支持
其他几个太贵，对你没啥用
不过腾讯 cdn 一些偏远地区的节点表现实在不太行

@h503mc 确实，不过已经解决了 ：）

@LeeReamond 确实，好像也就某些 Blog 的文章头图会用到，这玩意确实是个鸡肋，主要还是自己玩。
感觉你说的按指定色调返回图片挺有意思，到时候去试试。

@hs0000t 别立 flag，至少已经苟了很久了吧。 →_→
<img src="https://z3.ax1x.com/2021/04/30/gAEtQ1.png" />