设置防盗链,访问控制

最新推荐文章于 2023-11-30 10:57:19 发布
原创 最新推荐文章于 2023-11-30 10:57:19 发布 · 2.7k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

设置防盗链

防盗链的作用是,我们网站的图片,只能通过我们自己的网站去访问,其他网站借用不行。 
比如:我们的网站,被用户上传了很多图片,而用户又在他自己的网站上加上了我们网站图片的链接,就直接能访问了。 
这样可以节省他网站的带宽

一、图片防盗链原理 
http标准协议中有专门的字段记录referer 
一来可以追溯上一个入站地址是什么 
二来对于资源文件,可以跟踪到包含显示他的网页地址是什么 
因此所有防盗链方法都是基于这个Referer字段

如果是直接在浏览器上输入地址,回来进来,则没有referer头。

这也是:为什么服务器知道我们的图片是从哪儿引用的,也知道我们的客户从哪个网站链接点击过来的

referer防盗链的配置文件:

  <Directory /data/wwwroot/www.123.com>//用来定义那个目录,就是站点所在目录
        SetEnvIfNoCase Referer "http://www.123.com" local_ref //定义referer的白名单
        SetEnvIfNoCase Referer "http://123.com" local_ref //定义referer的白名单
        SetEnvIfNoCase Referer "^$" local_ref //定义referer的白名单(空的referer,直接输入网址进去的,没经过其他网站跳转)
        <filesmatch "\.(txt|doc|mp3|zip|rar|jpg|gif)"> //定义规则,针对那些访问做防盗链
            Order Allow,Deny //定义访问控制的
            Allow from env=local_ref //允许白名单的referer
        </filesmatch>
    </Directory>

在Apache设置防盗链:

打开虚拟配置文件:

[root@shuai-01 ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf 

<VirtualHost *:80>
    DocumentRoot "/data/wwwroot/111.com"
    ServerName 111.com
    ServerAlias www.111.com www.example.com

    <Directory /data/wwwroot/111.com>
        SetEnvIfNoCase Referer "http://111.com" local_ref
        SetEnvIfNoCase Referer "http://111.com" local_ref
        SetEnvIfNoCase Referer "^$" local_ref
        <filesmatch "\.(txt|doc|mp3|zip|rar|jpg|gif|png)">
            Order Allow,Deny 
            Allow from env=local_ref
        </filesmatch>
    </Directory>

        SetEnvIf Request_URI ".*\.gif$" img
        SetEnvIf Request_URI ".*\.jpg$" img
        SetEnvIf Request_URI ".*\.png$" img
        SetEnvIf Request_URI ".*\.bmp$" img
        SetEnvIf Request_URI ".*\.swf$" img
        SetEnvIf Request_URI ".*\.js$" img
        SetEnvIf Request_URI ".*\.css$" img
    ErrorLog "logs/111.com-error_log"
    CustomLog "|/usr/local/apache2.4/bin/rotatelogs -l logs/111.com-access_%Y%m%d.log 86400" combined env=!img
</VirtualHost>

保存退出,检查配置文件语法并重新加载配置文件

[root@shuai-01 ~]# /usr/local/apache2.4/bin/apachectl -t

Syntax OK

[root@shuai-01 ~]# /usr/local/apache2.4/bin/apachectl graceful

这是只有通过referer白名单的才能访问:

用curl测试: 
curl -e 可以指定referer:在白名单里

[root@shuai-01 ~]# curl -e "http://111.com/123.txt" -x127.0.0.1:80 111.com/logo.png -I
HTTP/1.1 200 OK
Date: Mon, 25 Dec 2017 09:33:36 GMT
Server: Apache/2.4.29 (Unix) PHP/5.6.30
Last-Modified: Thu, 21 Dec 2017 14:12:26 GMT
ETag: "1914-560da4a1b6680"
Accept-Ranges: bytes
Content-Length: 6420
Content-Type: image/png

不在白名单里的

[root@shuai-01 ~]# curl -e "http://www.qq.com/123.txt" -x127.0.0.1:80 111.com/logo.png -I
HTTP/1.1 403 Forbidden
Date: Mon, 25 Dec 2017 09:36:02 GMT
Server: Apache/2.4.29 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1

用浏览器测试:

在白名单里的(这里是空的referer)

这里写图片描述

不在白名单里:

这里写图片描述

问题1:

查看日志的时候,明明访问了多次站点,却没有日志。

原因:这里由于访问的是图片,由于以前做过日志不记录静态文件,配置文件没有更改或删除,访问.png时,就没记录。

更改配置文件,将其注释掉。

访问控制

访问控制和用户认证其实是不一样的,用户认证是通过用户名密码的方式允许访问,访问认证是通过允许IP白名单允许访问。

访问控制的配置文件:

  <Directory /data/wwwroot/www.123.com/admin/> //针对admin目录
        Order deny,allow
        Deny from all
        Allow from 127.0.0.1
  </Directory>

order用来定义顺序,是先deny(不允许),allow(允许)。

        Order deny,allow
        Deny from all
        Allow from 127.0.0.1

这里先所有都不允许,在只允许127.0.0.1 。执行完后才生效。 
如果:

        Order allow,deny
        Deny from all
        Allow from 127.0.0.1

先allow在deny。就所有都不允许了。

设置admin文件的访问控制:

打开虚拟配置文件

[root@shuai-01 ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf 


//设置访问控制

  <Directory /data/wwwroot/111.com/admin/>
        Order deny,allow
        Deny from all
        Allow from 127.0.0.1
  </Directory>

//设置防盗链

    <Directory /data/wwwroot/111.com>
        SetEnvIfNoCase Referer "http://111.com" local_ref
        SetEnvIfNoCase Referer "http://weibo.com" local_ref
        SetEnvIfNoCase Referer "^$" local_ref
        <filesmatch "\.(txt|doc|mp3|zip|rar|jpg|gif|png)">
            Order Allow,Deny
            Allow from env=local_ref
        </filesmatch>
    </Directory>

保存退出,检查配置文件语法并重新加载配置文件

[root@shuai-01 ~]# /usr/local/apache2.4/bin/apachectl -t

Syntax OK

[root@shuai-01 ~]# /usr/local/apache2.4/bin/apachectl graceful

创建admin文件:

[root@shuai-01 ~]# cd /data/wwwroot/111.com/
[root@shuai-01 111.com]# mkdir admin/
[root@shuai-01 111.com]# touch admin/index.php
[root@shuai-01 111.com]# echo '121212' > admin/index.php 
[root@shuai-01 111.com]# cat admin/index.php 
121212

通过curl进行测试:

自测试:

[root@shuai-01 111.com]# curl -x127.0.0.1:80 111.com/admin/index.php -I
HTTP/1.1 200 OK
Date: Mon, 25 Dec 2017 10:27:40 GMT
Server: Apache/2.4.29 (Unix) PHP/5.6.30
X-Powered-By: PHP/5.6.30
Content-Type: text/html; charset=UTF-8

[root@shuai-01 111.com]# curl -x192.168.176.135:80 111.com/admin/index.php -I
HTTP/1.1 403 Forbidden
Date: Mon, 25 Dec 2017 10:28:56 GMT
Server: Apache/2.4.29 (Unix) PHP/5.6.30
Content-Type: text/html; charset=iso-8859-1

前面访问控制是目录,它还能是一个文件。

<Directory /data/wwwroot/www.123.com> //在那个目录下
    <FilesMatch  "admin.php(.*)">
    //对于那些文件
        Order deny,allow
        Deny from all
        Allow from 127.0.0.1
    </FilesMatch>
</Directory>
Spring Boot防盗链黑科技:三重防护+动态令牌,彻底封杀盗链攻击!
墨夶的博客
07-02 661
摘要 本文探讨了服务器防盗链的必要性及其解决方案。盗链行为导致企业面临流量偷窃(如某电商年损失超1000万带宽)、服务器过载(CPU飙升至90%)及版权失控等风险。针对这些问题,文章提出基于Spring Boot的三重防护体系: Referer域名白名单:通过拦截器验证请求来源,拦截非法访问; 动态令牌验证:采用HMAC-SHA256算法生成时效性签名URL,防止恶意链接; FastDFS深度集成:结合分布式存储的防盗链机制,生成带加密令牌的资源链接。 通过代码示例详细展示了各层级的实现逻辑,为企业构建高效
详解Nginx防盗链和Nginx访问控制与Nginx解析php的配置
01-20
详解Nginx防盗链和Nginx访问控制与Nginx解析php的配置 Nginx防盗链 配置如下,可以和上面的配置结合起来 location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)$ { expires 7d; valid_...
配置防盗链
weixin_34019929的博客
12-06 145
配置防盗链 要实现防盗链,我们就必须先理解盗链的实现原理,提到防盗链的实现原理就从HTTP协议说起,在HTTP协议中,有一个表头字段叫referer,采用URL的格式来表示从哪儿链接到当前的网页或文件。换句话说,通过referer,网站可以检测目标网页访问的来源网页,如果是资源文件,则可以跟踪到显示它的网页地址。有了referer跟踪来源就好办了,这时就可以通过技术手段来进行处理,一旦检测...
服务器加网站防盗链,自己做网站如何做防盗链设置
weixin_35260153的博客
08-09 341
我们在做网站时,如果自己网站上的图片被别人复制过去,就会增加自己网站服务器的负担,所以在做网站时,需要做一些防盗链设置。如果你的空间支持.htaccess文件并且支持网站伪静态规则,你都可以防盗链!通过.htaccess来防止网站的图片、压缩文件、或视频等非Html文件被盗链的方法相当简单,通过在该文件中加入几句命令即可保护我们宝贵的带宽。禁止盗链用户盗链我们的资源会返回403(没有权限)错误Re...
nginx优化与防盗链配置
最新发布
qq_51545656的博客
11-30 1803
一方发送结束连接请求,等待对方的确认,同时仍然可以发送数据。
防盗链设置及一些绕过防盗链的方法
chiqulao5770的博客
12-26 914
防盗链这里介绍的都是从request的header里判断refer是否为空,直接输入资源的地址的话 refer为空 绕过防盗链 也是基于这种判断header头的防盗链方式 如果用其他的放盗链,如定期批量改变服务器文件名称,或者用时间戳加密资源地址等这些防盗链措施是不能绕过的 这些网上都有 只是...
Nginx跨域访问场景配置和防盗链详解
09-29
跨域访问控制防盗链是Web服务器管理中两个重要的安全措施,它们对于保护网站资源和确保正常用户体验至关重要。 首先,我们来理解一下为什么浏览器会禁止跨域访问。跨域访问控制是浏览器的一种安全策略,旨在防止...
简单的防盗链功能代码(iframe)
12-12
2. **用户体验**:如果防盗链机制过于严格,可能会影响正常用户的访问体验,比如合法用户因某些原因无法提供有效的`Referer`头信息。 3. **兼容性问题**:同浏览器对于`Referer`头信息的处理方式可能存在差异,这...
centos服务器下nginx图片防盗链设置方法
09-15
总结起来,Nginx的防盗链配置是一项重要的安全措施,尤其对于那些需要控制带宽使用的网站来说。通过合理的设置,可以确保你的图片资源只被授权的站点或直接访问的用户使用。希望这个教程能帮助你理解如何在CentOS...
配置防盗链访问控制Directory、FilesMatch
weixin_33854644的博客
05-31 168
配置防盗链 首先来了解一下什么是盗链,全称是盗取链接,假如我们的网站有很多好看的图片,别人可以查看我们网站图片的链接,然后应用在他的网站上,这样的话,去访问他的网站,实际上消耗的是我们的流量(因为实际链接在我们这里),这样我们就去配置防盗链,使得别人不能复制我们图片的链接。 防盗链的实现原理就从HTTP协议说起,在HTTP协议中,有一个表头字段叫referer,采用URL的格式来表示从...
宝塔php防盗链,[宝塔面板]如何开启防盗链
weixin_36162906的博客
04-04 885
为了节省建站成本,大多数站长都会选择一些小服务器,在另加CDN、云存储之类的来减轻服务器的压力,但是这类功能大多收费。如果自己网站的图片都让别人复制图片链接地址,那么自己CDN流量就跑得贼快,花了钱得到好处。所以今天无言讲讲宝塔面板怎么设置防盗链。宝塔怎么设置图片防盗链1、登录宝塔面板-网站-设置-开启防盗链2、然后面板-网站-设置-文件配置,查找以下代码#SECURITY-START 防盗链配...
宝塔php防盗链,宝塔面板利用nginx服务设置图片防盗链规则
weixin_39609822的博客
04-04 631
蓝卡手上有3台ECS,最近发现1台ECS的状态太正常,负载、流量都有些偏高,这个ECS上的站点多,流量最大的站点1天也就3000-4000的pv,站点的图片在上传钱也经过压缩,理论上资源消耗会这么大。曾经遇到过被反代的,已经能解决了,被DDOS的可能性也大,剩下最大的可能就是被盗链了,经过排查,发现了1个网站,内容基本就是采集我的站点的,甚至图片都是直接调用的,看来宝塔默认的防盗链并没有起...
宝塔php防盗链,宝塔面板开启防盗链的方法详细教程
weixin_42644410的博客
04-04 1526
为了节省建站成本,大多数站长都会选择一些小服务器,在另加CDN、云存储之类的来减轻服务器的压力,但是这类功能大多收费。如果自己网站的图片都让别人复制图片链接地址,那么自己CDN流量就跑得贼快,花了钱得到好处。所以今天无言讲讲宝塔面板怎么设置防盗链。宝塔怎么设置图片防盗链1、登录宝塔面板-网站-设置-开启防盗链2、然后面板-网站-设置-文件配置,查找以下代码下面来讲讲上面这些代码的作用和意义。lo...
配置nginx防盗链后,整个网站都不能访问资源了
weixin_43521692的博客
11-05 841
配置如上,在自己的网页中也无法访问资源,查了半天也没查到原因,网页是vue+spring,前后端分离,网页中的referrer如下。是我配置出错了,还是要改网页中的referrer
宝塔面板开启防盗链的教程
taoyuande的博客
02-19 1770
一、为什么要开启宝塔面部里的防盗链功能: 1、有些网站会采用cdn功能,如果网站图片等内容被其它网站转载复杂,就会造成大量cdn流量的丢失。我们都知道cdn是需要花钱购买的,这样一来造成必要的经济损失。 2、可以给采集网站造成一定的采集麻烦,因为采集为空后,有流程图片的文章肯定会有原文更有展现能力。 二、宝塔面部防盗链开启设置流程: 1、在宝塔面部里找到网站-选择要设置的对应网站-点击设置; 本文来自:桃源侠:https://www.taoyuanxia.com/ 详细图文:https://www.ta
什么是盗链
红梅花儿开
06-12 1411
 盗链是指服务提供商自己提供服务的内容,通过技术手段绕过其它有利益的最终用户界面(如广告),直接在自己的网站上向最终用户提供其它服务提供商的服务内容,骗取最终用户的浏览和点击率。受益者提供资源或提供很少的资源,而真正的服务提供商却得到任何的收益。  网站盗链会大量消耗被盗链网站的带宽,而真正的点击率也许会很小,严重损害了被盗链网站的利益。早期的盗链一般是一些比较小的网站盗取一些有实力的大
laravel处理图像上传OSS云存储(含图像处理,防盗链
array_sum的博客
05-13 1026
laravel框架中集成intervention-image处理图像并上传OSS云存储前言一、Intervention Image是什么?二、使用步骤1.定义路由2.引入库3.输出结果总结 前言 前言:作为一名全栈开发,和图像处理打交道是习以为常,主要是以前端为主.对于前端来说,图像处理都还好说,也比较简单。但对于应用后台,或者接口而言,毕竟主要工作是处理数据的,图像处理方面比较少,但是现在后台处理图片功能,也会越来越多,以下举几个例子: (1)特定活动海报,(电商app常见) (2)个人名片(笔者基于此
X-Frame-Options ALLOW-FROM 无效
u013595395的博客
03-23 6909
原因:谷歌浏览器较新版支持ALLOW-FROM 办法:用另一个响应头Content-Security-Policy代替,配置其中的frame-ancestors netCore写法(Startup.cs) (1)旧 app.Use(async (context, next) => { context.Response.Headers.Add("X-Frame-Options", "ALLOW-FROM http://localhost:8080 http://localhost
页面访问IP授权的高效下载防盗链机制
这种未授权的下载常常称为“盗链”,是内容被直接链接并绕过正常的访问控制过程。为了解决这个问题,各种防盗链技术应运而生。本文标题中提到的“基于页面访问ip授权的下载防盗链”涉及的技术是对付盗链的一种创新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值