Web常用攻击手段之盗图

最新推荐文章于 2021-02-16 13:13:01 发布
最新推荐文章于 2021-02-16 13:13:01 发布
阅读量382 收藏 1
点赞数
分类专栏: 互联网安全架构 文章标签: 防盗链 互联网安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/juzhenxing/article/details/102150175
版权

防御之前

在这里插入图片描述

防御之后

在这里插入图片描述
在这里插入图片描述

如何防御?

  • 通过http请求头中的Referer参数进行判断

代码实现

// 获取域名的工具类
import java.util.regex.Matcher;
import java.util.regex.Pattern;

public class DomainUtils {

    public static String getDomain(String url) {
        Pattern pattern = Pattern.compile("//[\\w.]*/");
        Matcher matcher = pattern.matcher(url);
        if (matcher.find()) {
            return matcher.group(0).substring(2, matcher.group(0).length() - 1);
        }
        return "";
    }
}

// 实现静态资源的过滤器
import com.example.nginx.util.DomainUtils;
import org.apache.commons.lang.StringUtils;
import org.springframework.beans.factory.annotation.Value;

import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

@WebFilter(urlPatterns = "/static/imgs/*")
public class ImageFilter implements Filter {

    @Value("${custom.domain}")
    private String customDomain;

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        //获取请求头中的Referer域
        HttpServletRequest httpServletRequest = (HttpServletRequest) servletRequest;
        String url = httpServletRequest.getHeader("Referer");
        System.out.println("请求头中的Referer域: " + url);
        if (StringUtils.isEmpty(url)) {
            servletRequest.getRequestDispatcher("/static/imgs/error.png").forward(servletRequest, servletResponse);
            return;
        }
        //获取域名
        String clientDomain = DomainUtils.getDomain(url);
        //验证白名单
        if (!clientDomain.equals(customDomain)) {
            servletRequest.getRequestDispatcher("/static/imgs/error.png").forward(servletRequest, servletResponse);
            return;
        }
        filterChain.doFilter(servletRequest, servletResponse);
    }
}

遇到的问题

  • SpringBoot2.0版本访问静态资源的方式改变了, 通过以下配置解决, 同时客户端访问的时候需要带上/static/imgs
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurationSupport;

@Configuration
public class WebConfig extends WebMvcConfigurationSupport {
    
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("/static/**").addResourceLocations("classpath:/static/");
    }
}
  • 访问静态资源的时候, 请求中没有Referer参数. 这个问题困扰了好久, 使用的是chrome, 清了缓存也没用. 最后发现, 将静态资源放到html页面中, 通过img标签访问的场景下, 请求会带上Referer参数. 盗图一般也是这样做的, 所以这种模拟场景还是比较准确的.
  • 模拟其他网站盗图, 配置本地域名映射的时候, 需要记得加端口. 模拟自己网站访问静态资源的时候, 由于已经将服务通过natapp映射到外网了, 已经指定了服务的端口, 所以不用加端口.
  • 如何配置freemarker? 使用以下配置
# 配置freemarker
spring:
  freemarker:
    # 设置模板后缀名
    suffix: .ftl
    # 设置文档类型
    content-type: text/html
    # 设置页面编码格式
    charset: UTF-8
    # 设置页面缓存
    cache: false
    # 设置ftl文件路径
    template-loader-path:
      - classpath:/templates
  # 设置静态文件路径,js,css等
  mvc:
    static-path-pattern: /static/**在这里插入代码片
_翚_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
爬虫小作业(百度贴吧盗图).zip
05-31
Python课程小作业:利用Python爬虫程序获得百度贴吧片(盗图专用)代码较简单,注释很丰富,非常易懂。
斯凯奇诉爱马仕侵权——品牌发展需警惕知识产权侵权
kongjiazhanshi的博客
10-21 504
知识产权是品牌的合法权益,受法律保护,一旦遭遇侵犯,品牌方可留存证据,依法维权!
有趣的JS:一行代码 “偷取所有片”
冯立彬的博客
01-16 9076
原贴地址:http://bbs.51js.com/viewthread.php?tid=651181、一行代码 “偷取所有片” 试一下下面这行代码能取出所有片,哈··很好玩吧?··javascript:a=document.body.getElementsByTagName("img");var b="";for(i=0;i";};document.write(b)使用方式:用IE
打造自己的盗图利器(chrome插件开发)
weixin_33921089的博客
06-02 1357
1.前言 有没有时常写文章需要引用其他人的片,但是又还怕他人片链接失效,所以需要把片保存下载再上传到床.非常麻烦 有没有时常看到他人优秀的知识谱,亦或者保存不下来的背景,想一键存储到自己的专属床. 总结一下,想要做的就是快速保存网页上的片资源到自己私有的存储容器上. 2.技术方案 2.1 定位片资源 所以如何做到快速获取页面片资源呢? 片资源从远程服务器加载到本地浏览器上的各...
java 片防盗_片、文件防盗链
weixin_29022115的博客
02-16 382
关于片盗链这个问题,毕竟是自己的劳动成功,很多人不希望别人就那么轻易地偷走了。这个功能在很多的论关于片盗链这个问题,毕竟是自己的劳动成功,很多人不希望别人就那么轻易地偷走了。 这个功能在很多的论坛上都具有,可能是因为盗链的行为太多了吧反盗链的程序其实很简单,熟悉ASP.NET 应用程序生命周期的话很容易就可以写一个,运用HttpModule在BeginRequest事件中拦截请求就ok了,剩下...
Chrome开发者工具不完全指南(六、插件篇)
12-09 205
本篇是Chrome开发者工具的结尾篇,最后为大家介绍几款功能强大的插件。在chrome商店里面有很多插件,没事建议大家去逛逛。不过需要FQ,所以诸位请自备神器。 一、皮肤插件 首先是大家期盼已久,翘首以盼的皮肤插件。这款插件叫DevTools Theme: Zero Dark Matrix.在商店中下载之,然后打开这个地址:chrome://flags,找到Enable Develo...
网络片抓取--web开发批量盗图!!!!!
k769444252的博客
07-23 2027
该类用于网络片抓取,只需要一个记录了所需片URL的文本文件,就可自动解析抓取片,并且可以按照url的路径自动存储,方便快捷,盗图利器 package com.mms.utils; import java.io.BufferedReader; import java.io.DataInputStream; import java.io.File; import java.io.Fi
一行代码 “偷取所有片”
01-26 893
用IE随意打开一个有片的网站(如 http://www.163.com),打开之后删除http://www.163.com把下面的代码粘到IE地址栏处,回车,就偷出来了···javascript:a=document.body.getElementsByTagName("img");var b="";for(i=0;ia.length;i++)...{b+=""+a[i].src
Web防盗链的使用
李青林的博客
03-25 983
盗链概念:   小站盗用大站的片,音乐,视频,软件等资源影响:通过盗链的方法可以减轻自己服务器的负担呢,因为真实的空间和流量均来自别人的服务器盗链是指在自己的页面上展示一些并不在自己服务器上的内容获得他人服务器上的组员地址,绕过别人的资源展示页面,直接在自己的页面上向最终客户提供内容展示防盗链概念防止别人通过一些技术手段绕过本站资源展示页面,盗用本站的资源,让绕开本站资源展示页面的资源失效可以大...
淘宝盗图阿尔法破解下载器
11-22
本人亲测,淘宝盗图杠杠得,一次下载只能3个链接,不喜欢的勿下载勿喷哦
Nginx设置Referer来防止盗图的实现方法
09-29
主要介绍了Nginx设置Referer来防止盗图的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
批量投诉盗图 影子de淘宝盗图批量举报投诉系统 v1.2
11-12
影子de淘宝盗图批量举报投诉系统,快速辅助淘宝商家大量的举报与投诉他人盗图行为,软件解放双手,模拟网页操作,软件,无毒,绿色。
教你盗图被投诉以后做假的方法!-知识杂货店.docx
05-12
教你盗图被投诉以后做假的方法!-知识杂货店.docx
关于__Federico Milano 的电力系统分析工具箱.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
mlab-upenn 研究小组的心脏模型模拟.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
混合像创建大师matlab代码.zip
最新发布
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
中序遍历二叉树-java版本
04-26
在Java中,实现二叉树的中序遍历同样可以通过递归来完成。中序遍历的顺序是:首先递归地中序遍历左子树,然后访问根节点,最后递归地中序遍历右子树。 在这段代码中,Node类定义了二叉树的节点,BinaryTree类包含一个指向根节点的指针和inOrder方法,用于递归地进行中序遍历。printInOrder方法调用inOrder方法并打印出遍历的结果。 在Main类中,我们创建了一个示例二叉树,并调用printInOrder方法来输出中序遍历的结果。输出应该是:4 2 5 1 3,这表示中序遍历的顺序是左子树(4),然后是根节点(2),接着是右子树的左子树(5),然后是右子树的根节点(1),最后是右子树的右子树(3)。
arcgis中房屋拓扑,需要将所要素都盗图
06-09
在 ArcGIS 中进行房屋拓扑分析时,您需要将所有房屋要素加载到地中,并将其放置在同一个层中。然后,您可以使用 ArcGIS 中的拓扑规则来定义房屋之间的拓扑关系,例如相邻、重叠、包含等等。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值