SpringBoot 实现图片防盗链功能

最新推荐文章于 2024-06-15 19:20:09 发布
最新推荐文章于 2024-06-15 19:20:09 发布
阅读量491 收藏 5
点赞数 12
文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LINgZone2/article/details/139142271
版权

前言

出于安全考虑,我们需要后端返回的图片只允许在某个网站内展示,不想被爬虫拿到图片地址后被下载。或者,不想浏览器直接访问图片链接。

出于性能考虑,不想要别人的网站,拿着我们的图片链接去展示,白白消耗自己的服务器资源。

故而可在springboot中,使用简单的图片防盗链规则。拦截掉一些处理。

1、代码实现

本篇实战代码是简易版,代码写死配置

1-1、创建拦截器类
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class ImageProtectionInterceptor implements HandlerInterceptor {

    private static final String ALLOWED_DOMAIN = "baidudu.com"; // 允许的域名

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 获取请求的 URL
        String requestUrl = request.getRequestURL().toString();

        // 判断请求是否以图片后缀结尾
        if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || requestUrl.endsWith(".jpeg")) {
            // 获取请求的来源域名
            String referer = request.getHeader("Referer");

            // 检查来源域名是否符合预期
            if (referer != null && referer.contains(ALLOWED_DOMAIN)) {
                return true; // 符合防盗链要求,放行请求
            } else {
                response.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回 403 Forbidden
                return false; // 拦截请求
            }
        }

        return true; // 对非图片资源请求放行
    }
}
1-2、注册拦截器
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 注册拦截器,拦截所有请求
        registry.addInterceptor(new ImageProtectionInterceptor())
                .addPathPatterns("/**"); // 拦截所有请求
    }
}

2、代码实现(灵活配置)

2-1、在 application.yml 中配置信息
# 图片防盗链配置
img-protect:
  # 图片防盗链保护开关
  enabled: true
  # 是否允许浏览器直接访问
  allowBrowser: false
  # 图片防盗链白名单,多个用逗号分隔【不填则所有网站都拦截】
  allowReferer: baidudu.com
2-2、创建配置文件映射类
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

@Component
@ConfigurationProperties("img-protect")
public class ImgProtectConfig {

    private boolean enabled;
    private boolean allowBrowser;

    private String allowReferer;

    public boolean getEnabled() {
        return enabled;
    }

    public void setEnabled(boolean enabled) {
        this.enabled = enabled;
    }

    public boolean getAllowBrowser() {
        return allowBrowser;
    }

    public void setAllowBrowser(boolean allowBrowser) {
        this.allowBrowser = allowBrowser;
    }

    public String getAllowReferer() {
        return allowReferer;
    }

    public void setAllowReferer(String allowReferer) {
        this.allowReferer = allowReferer;
    }
}
2-3、创建拦截器类
import 上方2-2创建的类路径.ImgProtectConfig;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Arrays;
import java.util.HashSet;
import java.util.Set;

@Component
public class ImageProtectionInterceptor implements HandlerInterceptor {

    @Autowired
    private ImgProtectConfig imgProtectConfig;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

  // 判断是否开启图片防盗链功能
        if (!imgProtectConfig.getEnabled()){
            return true;
        }
        
        // 获取请求的 URL
        String requestUrl = request.getRequestURL().toString();

        // 判断请求是否以图片后缀结尾
        if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || requestUrl.endsWith(".jpeg")) {
            // 获取请求的来源域名
            String referer = request.getHeader("Referer");

            // 检查来源域名是否符合预期,referer 为 null 则说明是浏览器直接访问。
            if (referer == null && imgProtectConfig.getAllowBrowser()){
                return true; // 符合防盗链要求,放行请求
            }else if (referer != null && isAllowedDomain(referer)) {
                return true; // 符合防盗链要求,放行请求
            } else {
                response.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回 403 Forbidden
                return false; // 拦截请求
            }
        }

        return true; // 对非图片资源请求放行
    }


    // 检查是否来自允许的域名
    private boolean isAllowedDomain(String referer) {
        // 获取允许的域名
        String allowedReferers = imgProtectConfig.getAllowReferer();
        // 如果允许的域名不为空
        if (allowedReferers.trim() != null && !"".equals(allowedReferers.trim())) {
            // 将允许的域名分割成字符串数组
            Set<String> allowedDomains = new HashSet<>(Arrays.asList(allowedReferers.split(",")));
            // 遍历允许的域名
            for (String allowedDomain : allowedDomains) {
                // 如果请求的域名包含允许的域名,则返回true
                if (referer.contains(allowedDomain.trim())) {
                    return true;
                }
            }
        }
        // 否则返回false
        return false;
    }

}
2-4、注册拦截器
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {
 

 // 不能再使用 new 方式创建对象 !!! 
 @Autowired
    private ImageProtectionInterceptor imageProtectionInterceptor;


    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 注册拦截器,拦截所有请求
        registry.addInterceptor(imageProtectionInterceptor)
                .addPathPatterns("/**"); // 拦截所有请求
    }
}

结束语

以上防盗链拦截器基本实现可以对付一般情况下的图片盗链,但并不能保证绝对安全。

可能出现以下等情况:

  • Referer 伪造: 恶意客户端可以伪造 referer 头。攻击者可以伪造有效的 referer 来绕过保护。

  • 漏报: 攻击者可能找到绕过 referer 检查的方法(例如使用 data URI 或 base64 编码的图片)。

  • 误报: 合法用户可能因为 referer 不匹配而被阻止(例如隐私浏览器或代理服务器)。

  • 反向代理: 攻击者可以在url路径中,添加域名白名单作为反向代理路径,绕开代码的contains方法检查。

尘世中-迷途小书童
关注
  • 12
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
ASP.NET实现图片防盗链功能
01-19
ASP.NET实现图片防盗链功能 很好的资源
asp.net HttpHandler实现图片防盗链
09-05
个例子来自于《Maximizing ASP.NET Real World, Object-Oriented Development》一书, 需要的朋友可以参考下。
springboot实现图片防盗链功能
北海_南风
04-22 419
出于安全考虑,我们需要后端返回的图片只允许在某个网站内展示,不想被爬虫拿到图片地址后被下载。或者,不想浏览器直接访问图片链接。出于性能考虑,不想要别人的网站,拿着我们的图片链接去展示,白白消耗自己的服务器资源。故而可在springboot中,使用简单的图片防盗链规则。拦截掉一些处理。
springboot实现文件防盗链设计
shigen的博客
05-12 929
`shigen`,一位专注于Java、Python、Vue和Shell的博主,分享成长和技术。近期将探讨SpringBoot实现图片防盗链,通过限制`Referer`防止资源被盗用。基础版通过`WebMvcConfigurer`配置静态资源,升级版添加拦截器检查`Referer`,确保请求来源合法性。详细代码实现和案例可在文中链接找到。一起学习,每天进步!
Java springboot过滤器实现防盗链
Jimmy12581的博客
11-02 874
实现原理:HTTP协议响应头中包含的Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。所以我们可以通过得到响应头中包含的referer来判断其请求来自哪里,如果不是本系统页面的请求则可能是盗链(referer包含的是请求发过来的源页面,而对于浏览器地址栏直接发送的请求referer为空)。 代码实现: 1.添加一个类,继承Filter package com.app.test.common.security.http; import com.app...
防盗链之基于springboot过滤器实现
Lengff
11-11 1521
文章目录防盗链之基于springboot过滤器实现什么是盗链防盗链的原理防盗链实现实现代码总结 防盗链之基于springboot过滤器实现 什么是盗链 内容不在自己的服务器上,通过技术手段将其他网站的内容(图片,音乐,软件等) 放置在自己的网站中,通过这种方式盗取其他网站的空间和流量,减轻自己服务器的负担。 举个例子我们服务器上有一个播放视频的地址,其他的网站用户就可以将我们的视频地址引用到他们的网站上,他们服务器实际没有任何开销,却能以此吸引用户! 防盗链的原理 根本原理是基于HTTP协议中的Refer
防盗链springboot代理模式(图片文件转发)
li123128的博客
01-01 903
在搭建自己的博客网站的时候,很有可能要引入一些外部图片,毕竟多数人最开始不是在自己的平台上写博客。   因某种需要,搬运自己以前写的博客到自己的网站时,在图片这一步可能会出现问题,无法显示。其中往往就是防盗链在起作用了 防盗链 定义 百度百科给的解释是 此内容不在自己服务器上,而通过技术手段,绕过别人放广告有利益的最终页,直接在自己的有广告有利益的页面上向最终用户提供此内容。 常常是一些名不见经...
图片防盗链如何实现?用SpringBoot轻松搞定
kangbin825的专栏
05-31 349
出于安全考虑,我们需要后端返回的图片只允许在某个网站内展示,不想被爬虫拿到图片地址后被下载。或者,不想浏览器直接访问图片链接。出于性能考虑,不想要别人的网站,拿着我们的图片链接去展示,白白消耗自己的服务器资源。故而可在springboot中,使用简单的图片防盗链规则。拦截掉一些处理。
springboot实现简单的注册登录功能
热门推荐
Java721的博客
02-22 2万+
spring官网 通过spring官网初始化SpringBoot项目 使用idea工具打开Springboot项目,项目结构 添加pom依赖 <!--springboot启动类--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter</artifactId>
Java使用Springboot+Redis实现点赞功能
ChristineTX的博客
09-28 6907
1. 流程图 流程图 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zec3qocj-1632797596589)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20210928102514830.png)] 实现思路 由于点赞属于一种频繁的提交操作,如果直接选用数据库做存储,对于数据库的压力比较大。这里考虑使用缓存作为中间层,然后定时的将数据持久化数据库,降低数据库的读写压力。缓
PHP实现图片防盗链破解操作示例【解决图片防盗链问题/反向代理】
10-15
主要介绍了PHP实现图片防盗链破解操作,结合实例形式分析了PHP解决图片防盗链问题的相关操作技巧,需要的朋友可以参考下
asp.net中利用ashx实现图片防盗链代码
10-30
直接分析盗链原理:看下面用httpwatch截获的http发送的数据
实现fastdfs防盗链功能
huan的学习记录
10-09 1251
我们可以通过fastdfs实现一个分布式文件系统,如果我们的fastdfs部署在外网,那么任何一个人知道了我们的上传接口,那么它就可以文件的上传和访问。那么我们如何阻止他人访问我们fastdfs服务器上的文件呢?`此处就需要使用fastdfs的防盗链功能。`
GraphQL(9):Spring Boot集成Graphql简单实例
u013938578的博客
06-12 552
在IDEA中,打开主菜单,选择 "File" -> "Settings" (或者使用快捷键 Ctrl + Alt + S 或 Cmd + ,),然后在弹出的对话框中选择 "Plugins"。在插件管理器中,你会看到一个搜索框。在搜索框中输入 "GraphQL" 或者其他相关的关键词,然后按下回车键或者点击搜索图标。在resource文件中新建graphql文件。新建AuthorRepository类。新建BookRepository类。编写root.graphql文件。新建Author实体类。
Spring Boot 深度学习笔记:从入门到精通的全面指南
Java领域优秀创作者
06-09 1215
Spring Boot 是由 Pivotal 团队开发的基于 Spring 框架的一个项目。它的目标是简化新 Spring 应用的初始搭建和开发过程,通过提供一系列默认配置和快速启动的能力,使开发者能够快速上手,减少配置的复杂性。这篇学习笔记将详细介绍 Spring Boot 的基本概念、核心功能以及实际应用示例,帮助初学者全面了解并掌握 Spring Boot
如何在Spring Boot实现图片上传至本地和阿里云OSS
m0_73939789的博客
06-15 395
在开发Web应用时,处理文件上传是常见的需求之一,尤其是在涉及到图片、视频等多媒体数据时。本文将详细介绍如何使用Spring Boot实现图片上传至本地服务器以及阿里云OSS存储服务,并提供完整的代码示例。
Spring Boot 项目中的 GC Root
最新发布
csdn_life18的博客
06-15 523
Autowired@Service@Autowired@MapperSpring上下文管理的控制器、服务和MapperServlet容器中的长生命周期对象数据库连接池中的连接对象活动线程这些组件和对象由于它们在应用程序中的关键角色,会被GC Root引用,从而不会被垃圾回收。理解这些GC Root的来源,对于调试和优化Spring Boot应用程序的内存使用非常重要。
Spring Boot集成tablesaw插件快速入门Demo
HBLOG
06-11 583
数据解析库,主要用于加载数据,对数据进行操作(转化,过滤,汇总等),类比Python中的Pandas库;数据可视化库,将目标数据转化为可视化的图表,类比Python中的Matplotlib库。与Pandas不同的是,Tablesaw中的表格以列(Column)为基本单位,因此大部分操作都是基于列进行的。当然也包括部分对行操作的函数,但是功能比较有限。
servlet实现防盗链
09-25
防盗链是指通过判断HTTP请求的Referer头信息来限制或拒绝非法的站点访问资源。在Servlet中实现防盗链可以通过获取请求头中的Referer,并与允许的站点进行比较来判断是否为合法的访问。以下是一个简单的实现示例: ```java import java.io.IOException; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class AntiLeechServlet extends HttpServlet { protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String referer = request.getHeader("referer"); if (referer == null || !referer.startsWith("http://www.example.com")) { // 如果referer为空或者不是合法的访问来源,返回错误信息 response.setContentType("text/html;charset=utf-8"); response.getWriter().println("<h1>盗链可耻!!!</h1>"); } else { // 合法的访问来源,返回正常内容 response.setContentType("text/html;charset=utf-8"); response.getWriter().println("<h1>欢迎访问^_^!!</h1>"); } } protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { doGet(request, response); } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

尘世中-迷途小书童

欢迎IT从业者的头脑风暴

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值