请求图片资源返回403。referrer服务器防盗链。

已于 2022-07-18 10:32:26 修改
阅读量3.2k 收藏 11
点赞数 3
文章标签: javascript html5 前端
于 2022-07-18 10:31:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/VR_Mad/article/details/125842474
版权

HTTP Referrer 防盗链 referrer策略 安全 meta标签
关键词由CSDN通过智能技术生成

问题

请求图片资源失败,返回403

原因

因为服务器会在请求头找到referrer信息,查看请求是否来自本站,如果不是就返回403。从而实现资源防盗。

http请求头中有一个referrer字段,用来表示发起http请求的源地址信息

 

什么是referrer?

referrer有“引用页面”或“来源页面”的意思,用来指定当前页面是从哪个页面跳转过来的,也就是说HTTP请求报头中的referrer包含了跳转至当前页面的上一个页面的url地址;

比如,你点击A页面中链接到B页面的URL地址,当你从浏览器进入B页面时,会向服务器发送请求,在这个请求的报头中会带上一个referrer,包含了A页面的URL地址;

referrer的作用

referrer可以告诉你用户是从哪个页面url地址过来的,这样就可以用来统计用户的来源,还可以用于分析用户的兴趣爱好、收集日志、优化缓存等等。

如果禁止referrer,可以防止盗链,或也可以绕过防盗链,也能防范一些攻击。

设置referrer

在html页面中的<head>头部区域用meta标签添加referrer属性

 <meta name="referrer" content="no-referrer" />

 Vue2项目可以直接在页面中的 "template"标签内写入

 

 referrer属性写法

<meta name="referrer" content="属性值">

content后面的“属性值”,常见有以下几种:

no-referrer:任何情况下都不发送Referrer信息;
no-referrer-when-downgrade:仅当协议降级(如从HTTPS页面跳转到HTTP页面)时不发送Referrer信息。是大部分浏览器默认策略。

origin:发送只包含host部分的referrer信息,也就是只包含了协议和域名的url,不包含域名后面部分,比如,来源网页url是https://liudaima.com/1.html,但referrer值只包含http://www.liudaima.com;

origin-when-cross-origin:仅在发生跨域访问时,发送只包含host的Referer信息,但在同域下还是完整的,而只有协议、域名和端口都一致时,浏览器才认为是同域。

unsafe-url:全部都发送Referrer信息,是最宽松,也是最不安全的策略

温馨提示:

1、referrer属性的<meta> 标签需要放在 <head> ...</head> 之间,如果出现的位置不对就会被忽略。
2、如果没有content 属性,或者 content 属性值为空,也会被忽略。
3、如果 content 属性后面的取值不合法,浏览器会自动选择 no-referrer 。

referrer属性用法

在html网页文档中,有两种方式,可以添加发送请求的referrer信息,分别是<meta>标签法和单个连接标签法

1、<meta>标签法(针对整个页面)

这种方法是针对属于当前网页中的所有链接,从任何一个链接跳转到其他页面,都会带上referrer信息。

如果想要在任何情况下,当前页面发送的请求不携带referrer信息,就这样写:

<meta name="referrer" content="no-referrer">

 如果想要在任何情况下,当前页面发送的请求包含referrer信息,就这样写:

<meta name="referrer" content="unsafe-url">

这种情况下,如果当前页面使用了 https 协议,而要加载的资源使用的是 http 协议,加载资源的请求头中也会携带 referer。

2、单个链接标签法

这种方法可以只针对网页中具体的某一个或多个链接单独设置referrer,常常运用在<a>、<img>、<area>、<iframe>、<link>标签上。

 <a rel="no-referrer" href="http://www.liudaima.com" />123</a>
<imgrel="no-referrer" src="logo.png" />

值得注意的是:

这种单个链接标签法,只对该标签中链接有效,且referrer的属性值,只有三个,分别是:no-referrer、origin、unsafe-url;而且,单个链接标签法设置referrer的优先级比<meta>标签法要高。

另外,<a>、<area>、<link>标签中的单个链接,还可以使用rel="noreferrer"属性达到和no-referrer同样的效果,写法如下:

<a rel="noreferrer" href="http://www.liudaima.com" />123</a>

同样的,该方法使用rel="noreferrer"属性设置referrer的优先级比<meta>标签法要高。

参考地址:get请求图片出现403 防盗链解决方式 no-referrer_老李头的代码生活的博客-CSDN博客_get请求403

参考地址:meta标签name="referrer"属性的写法和用法-html-刘代码博客

VR_Mad
关注
【网络安全】前端程序员务必掌握的图片防盗链
qq_42281321的博客
07-04 4608
在 协议请求中 里会带个 字段。通过图片服务器检查 是否来自规定的域名(白名单),而进行防盗链。 在浏览器中输入防盗链图片地址是能直接访问的。可以通过 nginx 配置白名单列表,不在白名单则返回 403 或者相应的处理(重定向到显示403图片,等操作) 以上所有来自 *.andyhu.com 域名和域名中包含 google 和 baidu 的站点都可以访问当前站点的文件资源。其他来源域(不在白名单列表)名访问则返回 。如果被注释的 则返回一张 的图片顺这浏览器能直接访问防盗链图片的思路,不难
安全架构-Http请求防盗链
ctotalk
12-18 8773
Http请求防盗链 文章目录Http请求防盗链前言一、什么是防盗链?二、有何危害?三、如何防范?1.思路2.实现总结 前言 互联网上资源越来越多,有很多资源是需要付费访问,我们自己公网上的资源,需要有安全意识,不被盗用。 一、什么是防盗链? 比如A网站有一张图片,被B网站直接通过img标签属性引入,直接盗用A网站图片展示;内容不在自己的服务器上,通过技术手段将其他网站的内容(比如一些音乐、图片、软件的下载地址)放置在自己的网站中,通过这种方法盗取其他网站的空间和流量。 二、有何危害? 资源被盗用,流量
http请求中的Referrer-Policy策略详解、Nfs动态添加扩展服务器以及共享目录的操作及nfs平滑重启
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-30 1273
No Referrer策略属性值:no-referrer意义:任何情况下都不发送 Referrer 信息。No Referrer When Downgrade策略属性值:no-referrer-when-downgrade意义 :仅当发生协议降级时不发送Referrer信息(如 HTTPS 页面引入 HTTP 资源,从 HTTPS 页面跳到 HTTP 等)时不发送 Referrer信息。这个规则是现在大部分浏览器默认所采用的。Origin Only策略属性值:origin。
关于第三方图片资源403问题?
boysYong的博客
07-05 442
为什么文章列表数据中的好多图片资源请求失败返回 403? 这是因为我们项目的接口数据是后端通过爬虫抓取的第三方平台内容,而第三方平台对图片资源做了防盗链保护处理。 第三方平台怎么处理图片资源保护的? 服务端一般使用 Referer 请求头识别访问来源,然后处理资源访问。 Referer 是什么东西? 扩展参考:了解更多Referer信息请参考链接 Referer 是 HTTP 请求头的一部分,当浏览器向 Web 服务器发送请求的时候,一般会带上 Referer,它包含了当前请求资源的来源页面的地址。服务端
搭建图片缓存服务器,解决图片访问403 Forbidden问题
最新发布
独行猫a 的沉淀、积累、总结。天天学习,好好向上...c/c++,嵌入式 linux,Android,HarmonyOS)
07-11 933
403 Forbidden错误表示服务器理解请求,但拒绝授权。这通常是因为请求资源受到访问控制列表(ACL)或其他权限设置的限制。例如当三方应用访问微博图片,会出现的原因,是因为微博开启了“图片反盗链微博反盗链的原理,就是在浏览器请求头)里添加Referer信息,然后判断“图片来源如果是自家网站,那就发出,而如果是别人的,那就发出。
访问图片出现403的解决办法
热门推荐
一只没有脚的鸟
11-05 3万+
在写小程序的时候,访问一个网址获取图片,但是显示会出现403(防止盗链)的错误. 总结了一下,有两种方法是可以解决这个问题的: 使用images.weserv.nl方案 使用no-referrer方案 第一种:使用images.weserv.nl方案 getImage(url){ console.log(url); // 把现在的图片连接传进来,返回一个不受限制的路径 if(url !=...
HTML 请求图片403
CMEguagua的博客
03-11 147
在头部添加 <meta name="referrer" content="no-referrer" /><!--页面头部添加-->
图片403
vip.khan的博客
06-14 514
网络图片出现403在<head></head>里面加上<meta name="referrer" content="no-referrer" />就ok啦啦啦
访问图片资源403问题(http referrer)
qq_42708127的博客
02-21 1224
通过img标签引入一个图片地址,报403。但是这个图片地址直接复制出来在地址栏打开,却是看得到的。 解决方法: 在html中的head标签里加入<metaname="referrer"content="no-referrer"/>即可。 原理: http请求体的header中有一个referrer字段,用来表示发起http请求的源地址信息,服务器端在拿到这个referre...
nginx利用referer指令实现防盗链配置
09-30
图片防盗链的场景下,如果 Nginx 服务器接收到一个请求,其 `Referer` 不符合预设的合法来源,那么 Nginx 可以拒绝提供服务,以保护服务器上的资源不被滥用。 以下是利用 Nginx 的 `referer` 指令配置防盗链的...
iframe解决图片防盗链,并解决iframe对事件的拦截
柴钰棋的博客
07-03 1993
iframe解决图片防盗链,并解决iframe对事件的拦截图片资源防盗链而无法加载。思路:用iframe加载一个页面,该页面空referrer请求资源图片资源防盗链而无法加载。 我在引用外部图片资源时,提示403。很显然对referrer进行了过滤。浏览器新窗口试一下,发现可以打开,说明空referrer可以解决这个问题。 在head标签加上<meta name="referrer" content="never">就可以打开了。 但是这样有个问题,不仅请求资源不带referrer,打开
采集百度,google,yahoo的搜索图片,asp.net破图片防盗链
03-06
ASP.NET是微软推出的一种用于构建Web应用的框架,而图片防盗链是为了防止他人未经许可直接引用网站上的图片资源。常见的防盗链技术包括检查HTTP Referrer头、设置HTTP Header的Cache-Control和ETag、使用Token验证等...
请求网络图片403解决方案——vue、普通网页、小程序
qq_63731091的博客
07-29 792
请求网络图片403解决方案
网络图片访问不到,403的解决办法(详解)
weixin_43909743的博客
07-27 7684
前言 富文本中复制百度百科的一份知识,在项目预览时发现图片显示不出来,报403问题, 图片地址用新网址打开正常显示 原因:403是防止盗链的错误(这种设计,是api厂商正常保证自己的服务器不被刷流量) 解决 方案一:使用no-referrer 在head 中添加 <meta name="referrer" content="no-referrer" /> 防盗链的机制: 通过页面的referrer信息,判断访问者来源,是否本站点,然后对图片请求作出相应 no-referrer: 1
访问图片资源403问题
小九的小酒的博客
02-20 542
通过img标签引入一个图片地址,报403。但是这个图片地址直接复制出来在地址栏打开,却是看得到的。 解决方法: 在html中的head标签里加入即可。 原理: http请求体的header中有一个referrer字段,用来表示发起http请求的源地址信息,服务器端在拿到这个referrer值后就可以进行相关的处理,比如图片资源,可以通过referrer值判断请求是否来自本站,若不是则返回403或者重定向返回其他信息,从而实现图片防盗链。上面出现403就是因为,请求的是别人服务器上的资源,但把自己的refe
html访问图片资源403问题(http referrer)
奔跑的菜鸡
03-05 829
现象 之前碰到一个问题,就是html中通过img标签引入一个图片地址,报403。但是这个图片地址直接复制出来在地址栏打开,却是看得到的。 先说下解决方法: 在HTML代码的head中添加一句 <meta name="referrer" content="no-referrer" /> 即可,后面再说下原理。 上面403的情况还有另一种解决方法就是,请求图片地址换成http协议,自己的地址使用http协议,这样降级请求也不会带上referrer http请求中的referrer htt
从后台获取的图片显示403(但是可以返回地址且地址正确)
庭落
07-28 1383
在html 的<head>里面加一句<meta name="referrer" content="no-referrer">
请求数据图片加载不出来403
m0_56175362的博客
08-27 209
最后解决的方法是,在相应的HTML文件前加上 这个是关乎防盗链的策略问题。
minio的防盗链
06-05
MinIO是一个开源的对象存储服务器,支持S3 API。在MinIO中,防盗链是一种保护存储桶中数据不被未经授权的第三方访问的措施。 MinIO中防盗链的实现方式是通过设置存储桶的策略(policy)来限制存储桶中对象的访问权限。具体地说,可以通过以下两种方式来实现防盗链: 1. Referrer白名单:可以设置只允许某些特定的来源(referer)来访问存储桶中的对象。可以通过配置存储桶的策略文件(policy.json)来实现这一目的。例如,可以设置只允许CSDN的网站来访问存储桶中的对象。 2. 时间限制:可以设置某个对象的访问时间,例如只允许在某个时间段内访问该对象。可以通过生成临时URL的方式来实现这一目的。临时URL是一种只有在指定时间段内才能访问的URL,可以通过调用MinIO API生成。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值