我该如何防止Amazon Cloudfront的图片盗链？

您可以将 Referer 标头转发到您的源

1. 进入CloudFront设置
2. 编辑分发设置
3. 进入“行为”选项卡并编辑或创建一种行为
4. 将“转发标头”设置为“白名单”
5. 添加Referer作为白名单标头
6. 在右下角保存设置

请确保在您的源上处理Referer标头。

我们遇到了许多热链接问题。最终，我们为许多图像创建了CSS精灵。可以在底部/侧面添加白色空间或将图像合并在一起。

我们使用CSS在页面上正确显示它们，但如果有任何热链接，除非他们也复制CSS/HTML，否则将错误地显示这些图像。

我们发现他们不会费心（或不知道如何做）。

官方方法是使用签名URL来分发您的媒体。对于每个要分发的媒体文件，您可以生成一个特殊制作的URL，该URL在给定的时间和源IP的限制下工作。
对于静态页面的一种方法是为该页面中包含的媒体生成临时URL，这些URL的有效期为页面缓存时间的2倍。假设您的页面缓存时间为1天，则链接将在2天后失效，这迫使热链接者更新其URL。虽然不是绝对可靠的，因为他们可以构建工具自动获取新的URL，但它应该能够阻止大多数人。
如果您的页面是动态的，您不需要担心破坏页面的缓存，因此您可以简单地生成仅适用于请求者IP的URL。

截至2015年10月，您可以使用AWS WAF限制对Cloudfront文件的访问。这里是来自AWS的一篇文章，它宣布了WAF并解释了您可以使用它做什么。这是一篇文章，帮助我设置了我的第一个ACL以基于引用者限制访问。
基本上，我创建了一个默认操作为DENY的新ACL。我添加了一个规则，检查引用者头字符串的结尾是否为我的域名（小写）。如果它通过了该规则，则允许访问。
在将我的ACL分配给我的Cloudfront分发后，我尝试在Chrome中直接加载我的其中一个数据文件，但我收到了以下错误：

据我所知，目前还没有解决方案，但我有一些可能相关、可能无关的建议...
首先：许多人在Cloudfront支持论坛上提出了这个问题。例如，可以看看这里和这里。
显然，AWS受益于热链接：点击量越多，他们就会向我们收取更多费用！我认为我们（Cloudfront用户）需要开始一种高度协调的运动，要求他们将referer检查作为一项功能提供。
我想到的另一个临时解决办法是更改我用于将流量发送到cloudfront/s3的CNAME。因此，假设您目前将所有图像发送到：
cdn.blahblahblah.com（重定向到某个cloudfront/s3存储桶）
您可以将其更改为cdn2.blahblahblah.com，并删除cdn.blahblahblah.com的DNS条目。
作为DNS更改，这将使所有当前热链接的人在其流量到达您的服务器之前就被拦截：DNS条目将无法查找。您必须不断更改cdn CNAME才能使其生效（比如每个月更改一次？），但它会起作用。
实际上，这是一个比看起来更严重的问题，因为它意味着人们可以更轻松地爬取您网站页面的整个副本（包括图像）--所以您失去的不仅仅是图像，并且您要付费来提供这些图像。搜索引擎有时会得出您的页面是副本而副本是原件的结论...然后您的流量就消失了。
我正在考虑放弃Cloudfront，转而使用布局合理、超级快速的专用服务器（从一个位置向全世界提供所有内容），从而让我对这些事情有更多的控制。
总之，希望其他人有更好的答案！

这个问题涉及到图像和视频文件。
引用检查无法用于保护多媒体资源免受热链接，因为一些移动浏览器在请求使用HTML5播放的音频或视频文件时不发送引用头。
我确定iPhone上的Safari和Chrome以及Android上的Safari都是如此。
太糟糕了！谢谢你，苹果和谷歌。

使用签名Cookie如何？使用自定义策略创建签名Cookie，该策略还支持您想要设置的各种限制，并且它是通配符。