利用referer防止盗链下载

最新推荐文章于 2024-04-16 15:42:04 发布
最新推荐文章于 2024-04-16 15:42:04 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: 知识转载 文章标签: http referer 盗链 web

【这篇是在网上看到的关于referer的文章,还有些不明白,转过来待日后再好好研究一下】

一、首先了解下 referer 的原理 

request.getHeader("referer") 
在开发web程序的时候,有时我们需要 得到用户是从什么页面连过来的 ,这就用到了referer。 
它是http协议,所以任何能开发web程序的语言都可以实现,比如jsp中是: 
request.getHeader("referer"); 
php是$_SERVER['HTTP_REFERER']。其他的我就不举例了(其实是不会其他的语言)。 
那它能干什么用呢?我举两个例子: 
1,防止盗连,比如我是个下载软件的网站,在下载页面我先用referer来判断上一页面是不是自己网站,如果不是,说明有人盗连了你的下载地址。 
2,电子商务网站的安全,我在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。 

使用referer的注意事项: 
如果我是直接在浏览器里输入有referer的页面,返回是null(jsp),也就是说referer只有从别的页面点击连接来到这页的才会有内容 。 
我做了个实验,比如我的referer代码在a.jsp中,它的上一页面是b.htm,c.htm是一个带有iframe的页面,它把a.jsp嵌在iframe里了。我在浏览器里输入b.htm的地址,然后点击连接去c.htm,那显示的结果是b.htm, 
如果我在浏览器里直接输入的是c.htm那显示的是c.htm (注:我试了一下应该是没有值,即null而不是c.htm奋斗
referer是浏览器在用户提交请求当前页面中的一个链接时,将当前页面的URL放在头域中提交给服务端的,如当前页面为a.html,它里面有一个b.html的链接,当用户要访问b.html时浏览器就会把a.html作为referer发给服务端.  

二、那么如何运用"referer" 来防止盗链下载呢 
我们考虑了用filter实现 
Java代码   收藏代码
  1. public class DefendSteal implements Filter  
  2. {  
  3.   
  4.     protected FilterConfig filterConfig;  
  5.     protected String[] allowsites;  
  6.     protected String[] files;  
  7.     public DefendSteal()  
  8.     {  
  9.      
  10.     }  
  11.   
  12.     public void destroy()  
  13.     {  
  14.   
  15.     }  
  16.   
  17.     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)  
  18.         throws IOException, ServletException  
  19.     {  
  20.         HttpServletRequest req = (HttpServletRequest)request;  
  21.         HttpServletResponse res = (HttpServletResponse)response;  
  22.         String suff = req.getRequestURL().substring(req.getRequestURL().lastIndexOf(".")+1);  
  23.         System.out.println("referer:"+req.getHeader("referer"));  
  24.         for(int j=0;j<this.files.length;j++){//判断是否有需要阻止的文件类型  
  25.             if(suff.equalsIgnoreCase(this.files[j])){  
  26.                 if(req.getHeader("referer")==null||"".equals(req.getHeader("referer"))){//这种情况是直接访问实体文件,可防止下载  
  27.                     res.sendRedirect(req.getContextPath()+"/NotExist.html");  
  28.                 }else{  
  29.                     int i=0;  
  30.                     for(i=0;i<this.allowsites.length;i++){  
  31.                         if(req.getHeader("referer").indexOf(allowsites[i])>=0){  
  32.                             break;  
  33.                         }  
  34.                     }  
  35.                     if(i==this.allowsites.length){//不在允许站点列表里,则阻止,这种情况是盗链  
  36.                         res.sendRedirect(req.getContextPath()+"/NotExist.html");  
  37.                     }  
  38.                 }  
  39.                 break;  
  40.             }  
  41.         }  
  42.         chain.doFilter(request, response);  
  43.     }  
  44.   
  45.     public void init(FilterConfig filterConfig)  
  46.         throws ServletException  
  47.     {  
  48.         this.filterConfig = filterConfig;  
  49.         String strSite = filterConfig.getInitParameter("allowsite");  
  50.         allowsites = strSite.split(";");  
  51.         String strfile = filterConfig.getInitParameter("file");  
  52.         files = strfile.split(";");  
  53.     }  
  54. }  


对应的web.xml文件配置如下: 

Java代码   收藏代码
  1. 在web.xml中加下如下:  
  2.   
  3. <filter>  
  4.     <filter-name>DefendSteal</filter-name>  
  5.     <filter-class>filters.DefendSteal</filter-class>  
  6.     <init-param>  
  7.       <param-name>allowsite</param-name>  
  8.       <param-value>172.19.33.48;172.19.33.91</param-value>  
  9.     </init-param>  
  10.     <init-param>  
  11.       <param-name>file</param-name>  
  12.       <param-value>flv;gif</param-value>  
  13.     </init-param>  
  14.   </filter>  
  15.   <filter-mapping>  
  16.     <filter-name>DefendSteal</filter-name>  
  17.     <url-pattern>/*</url-pattern>  
  18.   </filter-mapping>  

Allowsite为否充访问的站点 

File 为被监测的文件类型 


附: 深入理解HTTP协议 

http://www.blogjava.net/zjusuyong/articles/304788.html 

转自:http://kennethf6986.iteye.com/blog/980518

Jerry_Dui
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java 通过设置Referer反盗链
09-05
以前写过通过URLConnection下载图片等网络资源的代码,不过发现象新浪等网站,都不允许直接连接,所以增强了代码,通过模拟仿造referer来实现下载
SQL注入不完全思路与防注入程序
雪候鸟
08-31 1002
SQL注入不完全思路与防注入程序<一>SQL注入简介  许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,(一般是在浏览器地址栏进行,通过正常的www端口访问)根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。  <二>SQL注入思路  思路最重要。其实好多人都不知道SQL到底能做什么呢
围绕http请求头中Referer展开的一些知识
热门推荐
好好睡觉
01-07 1万+
referer字段含义 防盗链绕过
面试题:什么是空 Referer,什么时候会出现空 Referer?
jakelihua
06-11 1475
通常情况下,当用户直接在浏览器地址栏中输入 URL 或通过书签或外部链接等方式访问网站时,由于没有跳转来源页面,因此Referrer被设置为空。需要注意的是,对于某些高安全级别的站点(如银行、商业),管理员可能会限制请求头中 Referrer 的内容或者强制使用 HTTPS 协议,并且只允许同源站点能够获取相关信息。空 Referrer 可以用于某些攻击手段,如 CSS 攻击、URL 记录和统计等,同时也可以用于隐私保护,降低定向广告的精度分析和重复点击猪仔的威胁。
meta标签name=“referrer“属性的写法和用法
xunyun12的博客
02-22 3245
meta标签name="referrer"属性的写法和用法
什么是Referer?Referer的作用?空Referer是怎么回事?
zwbHUST的博客
05-28 6961
什么是Referer? Referer是HTTP请求header的一部分,当浏览器(或者模拟浏览器行为)向web服务器发送请求的时候,头信息里有包含Referer。比如我在www.sojson.com里有一个www.baidu.com链接,那么点击这个www.baidu.com,它的header信息里就有: Referer=https://www.soj...
【python--爬虫】千图网高清背景图片爬虫
qq_43017750的博客
05-21 1万+
最近有读者反映想要下载千图网的高清背景图片,但是需要会员才能下载,而且需要的量非常大,问博主有没有办法能免费下载这些图片。 付费,不存在的o( ̄▽ ̄)o!,博主今天讲解如何通过python爬取千图网的高清背景图片。 快,快,坐好小板凳,拿好小瓜子,听博主吹牛,额,是讲课,讲课!╰( ̄ω ̄o) 需求分析 我们本次要爬取的网页是:千图网背景图片模块 ...
利用HTTP Referer字段防止盗链的原理
Andrew的博客
02-27 1127
曾经在某云计算公司工作的时候,经常有客户抱怨自己的网站流量很大,拒绝支付高额的流量费用。这个时候我们就会查询相关的日志排查原因,以及最重要的是查询客户是否做了Referer设置,如果没有做相关的设置,那么这个问题是属于客户自己配置不当的问题,应当自己承担责任。那么这个HTTP协议中的Referer字段到底有什么作用呢? HTTP Referer字段是HTTP协议中的一个标准字段,其作用在于浏览器...
盗链referer详解和解决办法
qq_44538773的博客
04-02 6899
盗链原理: http标准协议中有专门的字段记录referer 1、他可以追溯到请求时从哪个网站链接过来的。 2、来对于资源文件,可以跟踪到包含显示他的网页地址是什么。 因此所有防盗链方法都是基于这个Referer字段 1.事情经过 在一开始,我打算将其他网站(如:爱奇艺,腾讯)的图片放在自己的网站(http://localhost…)上显示. <img src="http://pic6...
httpreferer 以及防盗链 策略研究
bawenmao的博客
12-01 1894
我们知道,http referer是一次http请求中的head请求中的一部分信息; 当浏览器从给服务端发送一次请求的时候,一般会带上Referer,告诉服务器 我是从哪个页面链接过来的,举一个时间的例子: 比如有一个网站或页面: http://www.example.com/a.html 该页面中有一个超链接: 点击 在服务器的server.php中我们
使用php伪造referer的方法 利用referer防止图片盗链
10-26
当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理,不过这个Referer是可以伪造,下面看一个示例,大家就明白了
使用referer指令配置Nginx服务器来防止图片盗链
09-30
主要介绍了使用referer指令配置Nginx服务器来防止图片盗链的方法,文中也简单介绍了referer指令的一些语法和常用参数,需要的朋友可以参考下
通过修改referer下载文件的方法
09-06
遇到了一个郁闷的事:如果让Http对象作全局变量,那么onreadystatechange只会在第一次执行时触发,以后都不会触发这个事件了。只好在每次Down文件时重新创建一个XmlHttp对象。
编写http接口api及接口自动化测试
NHB456789的博客
04-12 1059
我们要实现后台管理中的用户管理功能,实现对用户的增、修改、删除、查询操作。文中场景省去登录和用户权限部分,但我会在接口代码片段中进行注释说明。
HTTP快速面试笔记(速成版)
zhaohongfei_358的博客
04-12 723
HTTP(Hyper Text Transfer Protocol)是超文本传输协议,是一种基于TCP协议的可靠的数据传输协议。用于客户端与服务端进行资源传输,例如:HTML文件、图片、数据等。一个HTTP请求通常由客户端发起,服务端响应一个HTTP请求包含请求和响应两个部分。统一资源定位符(URL):描述服务器上某资源的特定位置,也就是客户端要从哪个地方获取资源。HTTP方法(HTTP Method):描述客户端请求的动作类型。GET(获取)、POST(修改)、PUT(增添)、DELETE(删除)
http 3.0 有哪些新特性
qq_35374791的博客
04-16 247
这些改进使HTTP/3不仅在网络通信性能上有显著提升,而且增强了网络应用的可靠性和用户体验,因此,在很多场景下,HTTP/3确实可以被认为是正在“吞噬世界”,因为它有望成为未来Web和应用程序传输数据的主要方式。随着各大浏览器厂商和服务器软件的支持度不断提高,HTTP/3的普及率也在持续增长。HTTP/3 是超文本传输协议(HTTP)的最新主要版本,其显著特点是放弃了传统的TCP作为传输层协议,转而采用基于UDP的QUIC(Quick UDP Internet Connections)协议。
Java-GUI介绍和使用
最新发布
04-18
GUI API包含的类分为三个部分:组件类(component class) 容器类(container class),和辅助类(helper class) 1. 组件类是用来创建用户图形界面的,例如JButton,JLabel,JTextField. 2. 容器类是用来包含其他组件的,例如JFrame,JPanel 3. 辅助类是用来支持GUI组件的,例如Color,Font
汉诺塔c语言递归.zip
04-18
汉诺塔c语言递归
mybatis-plus-core-3.0.6.jar
04-18
mybatis-plus-core.jar 各个版本,免费下载, mybatis-plus-core.jar 是 MyBatis 的增强工具核心包。免费下载 。 MyBatis-Plus(简称 MP),是一个 MyBatis 的增强工具包,只做增强不做改变,为简化开发工作、提高生产率而生。
referer防止csrf
06-11
是的,Referer可以用来防止跨站请求伪造(CSRF)攻击。CSRF攻击利用用户已登录的身份,在用户不知情的情况下向服务器发送恶意请求。通过检查请求的Referer头部,服务器可以确定请求的来源是否合法。如果Referer头部...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值