Google 图像代理是一个缓存代理服务器。每次电子邮件中包含图像链接时,请求都会首先转到 Google 图像代理,以查看它是否已被缓存,如果是,则应从代理提供它,否则它将获取它并在那里缓存它。
设置图片 URL 代理白名单
当您的用户打开电子邮件时,Gmail 会使用 Google 的安全代理服务器来提供这些邮件中可能包含的图片。这可以保护您的用户和域免受基于图片的安全漏洞的攻击。
由于图片代理,依赖于内部 IP 和 Cookie 的图片链接有时会失效。图片 URL 代理白名单设置可让您通过创建和维护可绕过代理保护的内部 URL 白名单来避免图片链接失效。
配置图片网址代理白名单时,您可以指定一组域名和一个路径前缀,用于指定大量网址。请参阅下面的指南以获取示例。
配置图片 URL 代理白名单设置:
-
登录 您的 Google 管理控制台 您的管理员帐号 ( 不是 登录 。
-
从管理控制台首页,转到
G Suite
> Gmail
> Advanced settings
. 提示: 要查看高级设置,请滚动到 Gmail 页面的底部。
-
在左侧,选择您的顶级组织。
-
滚动到 图像 URL 代理白名单 部分。
-
输入图片 URL 代理白名单模式。匹配的 URL 将绕过图片代理保护。请参阅下面的指南了解更多详细信息和说明。
-
点击底部的 保存 .
更改最多可能需要一小时才能传播到用户帐户。您可以在 管理控制台审核日志 .
应用图像 URL 代理白名单设置的指南
安全注意事项
在配置图片 URL 代理白名单设置之前,请咨询您的安全团队。如果不谨慎使用,绕过图片代理白名单保护的决定可能会使您的用户和域面临安全风险。
一般来说,如果您有一个需要通过 cookie 进行身份验证的域,并且该域由您组织内的管理员控制并且完全受信任,那么将该 URL 列入白名单不会使您的域遭受基于图像的攻击。
重要提示: 不建议禁用图片代理。此选项可为管理员提供灵活性,但禁用图片代理可能会让您的用户容易受到恶意攻击。
输入图片 URL 模式
要维护可绕过代理保护的内部 URL 白名单,请在图片 URL 代理白名单设置中输入图片 URL 模式。匹配的 URL 将绕过图片代理。
模式可以包含方案、域和路径。模式 /
中的域和路径之间必须始终有一个正斜杠 ( )。如果 URL 模式指定了方案,则方案和域必须完全匹配。否则,域可以部分匹配 URL 后缀。例如,模式 google.com
匹配 www.google.com
,但不匹配 gle.com
。URL 模式可以指定与路径前缀匹配的路径。
重要提示: 输入图片 URL 模式时,请输入您的实际域名。 /
域名后始终包含一个尾部斜杠 ( )。
图片 URL 模式示例
以下模式仅作为示例。以下模式:
http://rule_fixed_scheme_domain.com/
rule_flex_scheme_domain.com/
rule_fixed_subpath.com/cgi-bin/
... 将匹配以下 URL:
http://rule_fixed_scheme_domain.com/
http://rule_fixed_scheme_domain.com/test.jpg?foo=bar#frag
http://rule_fixed_scheme_domain.com
rule_flex_scheme_domain.com/
t.rule_flex_scheme_domain.com/test.jpg
http://t.rule_flex_scheme_domain.com/test.jpg
https://t.rule_flex_scheme_domain.com/test.jpg
http://rule_fixed_subpath.com/cgi-bin/
http://rule_fixed_subpath.com/cgi-bin/people
注意: URL 方案 ( http://
) 是可选的。如果省略方案,则模式可以匹配任何方案,并允许对域后缀进行部分匹配。
预览图像 URL 模式
点击 预览 ,查看 URL 是否与您设置的图片 URL 模式匹配。如果图片 URL 匹配模式,您将看到一条确认消息。如果图片 URL 不匹配,则会出现一条错误消息。