将 CNAME 列入白名单就足够了吗?

将 CNAME 列入白名单就足够了吗?

我们正在努力为使用我们网站的教育机构建立一个白名单域名列表。我们正在使用 AWS S3 和 cloudfront。

在我们的云端,我们设置了多个 cname,例如d1.streaming.example.comd2.streaming.example.com每个 cname 都指向云端系统中的不同域名,以便我们可以通过域名跟踪谁在使用什么。

问题是,我们能否只将学校列入白名单*.example.com(即我们的域)还是也应将*.cloudfront.com域列入白名单?

答案1

这取决于他们如何列入白名单。

如果他们在 IP 级别这样做,只要 CNAME 最终指向的 IP 被列入白名单,那就没问题。在 DNS 级别,这取决于实现是否允许列入白名单的 CNAME 自动允许 A 查找完成请求,或者如果 CNAME 给出的主机名不被允许,A 查找是否会失败。

其他实现(代理、浏览器级 URL 检查等)也将依赖它。

相关内容