利用Referer请求头防止“盗链”

最新推荐文章于 2024-04-23 10:04:15 发布
最新推荐文章于 2024-04-23 10:04:15 发布
阅读量475 收藏
点赞数 1
分类专栏: java servlet Web 文章标签: http java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bakelFF/article/details/120551134
版权

一、介绍


在实际开发中,经常会使用Referer头字段,例如,一些站点为了吸引人气并且提高站点访问量,提供了各种软件的下载页面,但是它们本身没有这些资源,只是将下载的超链接指向其它站点上的资源。而真正提供了下载资源的站点为了防止这种“盗链”,就需要检查请求来源,只接收本站链接发送的下载请求,阻止其它站点链接的下载请求。
 

二、获取头信息里的referer

Referer 请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用 Referer 请求头识别访问来源,可能会以此进行统计分析、日志记录以及缓存优化等。

package com.test.controller;

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * 防止盗链referer
 */
@WebServlet("/ServletDemo13")
public class ServletDemo13 extends HttpServlet {
	protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		response.setContentType("
最低0.47元/天 解锁文章
new 杨海波
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx屏蔽特定http_referer请求
Bertram的博客
12-22 4079
<div class="single-content"> <div class="tg-pc tg-site"><a href="https://www.xinshouzhanzhang.com/url/youhui/" target="_blank"><img src="https://www.xinshouzhanzhang.com/wp-content/themes/zh...
使用php伪造referer的方法 利用referer防止图片
10-26
当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理,不过这个Referer是可以伪造,下面看一个示例,大家就明白了
referer认证与请求请求拦截
xyz_road的博客
09-28 523
但是,如果是iframe嵌套窗口的时候:本地开发是子窗口,这时要拿到顶级窗口:也就是父窗口,的window.locaiton对像的地址url、不好意思,除非网页地址本就没有参数,否则无法做到。浏览器也根据是否同源做不一样的安全限制,并不能保证所有接口的referer都是完整的url,在非同源的情况下可能只发送网页的源。为满足所有的接口都加上请求,就需要做实例的请求拦截与axios的直接拦截,经过本人实验,这两个拦截不冲突,2、有的请求使用了封装的axios实例的方法,而有的接口是直接调用了axios。
pikachu靶场-3 跨站请求伪造(CSRF)
weixin_52180702的博客
12-12 628
这个get请求实际上是向后台传递了刚才的所有参数,而且我们并没有在这个提交的参数里看到csrf token,也就是说后台这里是没有做一些防CSRF的措施的,同时他又是通过get请求来提交的,如果有人相对它进行修改,他就只需要获取到这个链接,然后就可以对一些地方进行修改,然后通过邮件,聊天工具等发送给受害者,受害者点击后就会被修改信息。get型的CSRF是比较好利用的,我们只需要伪造这个链接,然后把我们想要修改的参数修改掉,然后发送给带登录态的攻击者,他只要点击,这个请求就完成了,这个攻击也完成了。
深入了解HTTP请求中的Referer
最新发布
YouAreMyLove995的博客
04-23 1928
Referer部是HTTP请求中的一个标字段,用于指示当前请求的来源页面。通常由HTTP客户端(如浏览器)发送给服务器,帮助服务器了解用户是从哪个页面跳转而来的。这个字段的作用在于提供了请求的上下文信息,有助于服务器进行处理和响应。综上所述,Referer部是HTTP请求中一个重要的标字段,用于指示请求的来源页面。它在网站开发、分析和安全防范中都有着重要的作用,但也需要注意用户隐私和安全性方面的考虑。
2.http请求Referer的作用与伪造
wjiaman
10-22 1万+
文章目录一、Referer1.作用2.空Refer二、Referer的伪造1.伪造为ip地址2.伪造为URL 一、Referer Referer是HTTP请求header中的一部分,其表示请求当前资源的客户端来源,当浏览器(或模拟浏览器行为)向web服务器发送请求的时候,部信息里会携带Referer。 例如:在 www.google.com 里有一个 www.baidu.com 超链接,当点击...
2022-09-07 请求referer拦截器防止csrf攻击
Young的博客
09-07 1804
工作中用到的对csrf攻击的简单防范方法
NGINX 域名及IP白名单拦截,Referer链设置
open
07-05 1518
针对线上对外NGINX代理服务安全非常重要,接下来针对域名IP白名单配置来拦截非法请求,同时通过Referer链设置判断该请求是否为合法请求,具体看本文测试操作结果。 server_name www.test.com 172.17.80.104; if ($http_Host !~* ^www.test.com|172.17.80.104$) { return 500; } server_n
Java 通过设置Referer
09-05
Java中,我们可以利用`java.net.URLConnection`类来创建网络连接并设置自定义的请求,从而模拟合法的`Referer`,以达到下载受保护资源的目的。以下是一个名为`ImageDownloader`的Java类,专门用于通过设置`Referer...
Nginx设置Referer防止图的实现方法
09-29
为了解决这个问题,我们可以利用Nginx服务器的配置功能,通过检查HTTP请求中的Referer字段来防止图。Referer字段通常记录了用户是从哪个页面点击链接到达当前页面的,可以作为判断请求来源合法性的一个依据。 ...
防止链(eg.jpg)的C#实现
04-29
当一个浏览器请求一个资源时,它会发送Referer,表明这个请求是从哪个页面发起的。这是防止链的基本依据。我们可以通过检查这个来判断请求是否合法。 在C#中,我们可以使用ASP.NET MVC或者WebAPI框架来实现这...
如何去除img标签或者a标签中的referer?
猿小白的博客
12-07 2384
为了防止链,网站的某些页面阻止了来自于非本站的链接访问,所以对访问请求referer进行检测,一旦发现不是属于本网站信任的域名,就会直接被拦截处理。
openresty、nginx 拦截非法请求referer模块 ngx_http_referer_module
秋̶᭄ꦿ攻城狮࿆ྂ
06-12 2269
referer模块 ngx_http_referer_module 默认编译进nginx nacos 403 valid_referers 指令 官网可参考 http://nginx.org/en/docs/http/ngx_http_referer_module.html#valid_referers Syntax: valid_referers none | blocked | server_names | string ...; server, location
Nginx配置referer校验,实现简单的防
热门推荐
打杂员工的博客
11-05 1万+
1、Nginx Referer模块 nginx模块ngx_http_referer_module通常用于阻挡来源非法的域名请求。当一个请求Referer字段中包含一些非正确的字段,这个模块可以禁止这个请求访问站点。构造Referer请求很容易实现,所以使用这个模块并不能100%的阻止这些请求。 2、valid_referers 指令 语法: valid_referers none | blocked | server_names | string … ; 配置段: server, locati
服务器端修改referer,CSRF绕过后端Referer校验
weixin_31640639的博客
08-12 1462
CSRF绕过后端Referer校验分正常情况和不正常的情况,我们这里主要讨论开发在写校验referer程序时,不正常的情况下怎么进行绕过。正常情况正常的情况指服务器端校验Referer的代码没毛病,那么意味着前端是无法绕过的。我之前考虑过的方案:JS修改Referer,失败;让用户点击第三方网站,但是浏览器就是使用第三方网站的referer,失败;不正常的情况不正常的情况指服务器端校验Refere...
跨站请求伪造学习笔记
0xdawn的博客
01-30 394
0x00 前言 跨站请求伪造(英语:Cross-site request forgery),也被称为one-click attack或者session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 0x0...
跨站请求伪造解决办法之——过滤referer
weixin_34362991的博客
04-06 3846
 当然,referer也是可以伪造的,Http请求本身就没有不能伪造的东西。 所以本方法只能在一定程度上防止非法请求,仅供参考。   项目的web.xml中增加过滤器: &lt;filter&gt; &lt;filter-name&gt;RefererFilter&lt;/filter-name&gt; &lt;filter-class&gt...
反爬虫,到底是怎么回事儿?
图灵教育
09-03 4059
有位被爬虫摧残的读者留言问:「网站经常被外面的爬虫程序骚扰怎么办,有什么方法可以阻止爬虫吗?」这是个好问题,自从 Python 火了起来,编写爬虫程序的门口越来越低,爬取别人网站数据也...
通过判断请求Header中的Referer防止伪造请求
天使的心跳
10-28 5873
其实不会根本性的解决这个问题。 解决方法: 在web.xml中增加: refererFilter ltd.miku.web.securityenhance.xss.RefererFilter refererFilter /* REQUEST 然后RefererFilter
referer请求怎么设置
06-10
Referer 请求是用来标识请求来源的,通常用于防链或者统计分析等场景。在 Python 爬虫中设置 Referer 请求,可以通过在 headers 参数中设置 `Referer` 字段来实现,示例如下: ```python import requests ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值