利用referer防止盗链下载

最新推荐文章于 2016-10-25 10:41:30 发布
最新推荐文章于 2016-10-25 10:41:30 发布
阅读量120 收藏
点赞数
分类专栏: 网站开发 文章标签: 浏览器 JSP Web 电子商务 C#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kennethf6986/article/details/83881719
版权
一、首先了解下 referer 的原理

request.getHeader("referer")

在开发web程序的时候,有时我们需要[b]得到用户是从什么页面连过来的[/b],这就用到了referer。

它是http协议,所以任何能开发web程序的语言都可以实现,比如jsp中是:

request.getHeader("referer");

php是$_SERVER['HTTP_REFERER']。其他的我就不举例了(其实是不会其他的语言)。

那它能干什么用呢?我举两个例子:

1,防止盗连,比如我是个下载软件的网站,在下载页面我先用referer来判断上一页面是不是自己网站,如果不是,说明有人盗连了你的下载地址。

2,电子商务网站的安全,我在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。

使用referer的注意事项:

[b]如果我是直接在浏览器里输入有referer的页面,返回是null(jsp),也就是说referer只有从别的页面点击连接来到这页的才会有内容[/b]。

我做了个实验,比如我的referer代码在a.jsp中,它的上一页面是b.htm,c.htm是一个带有iframe的页面,它把a.jsp嵌在iframe里了。我在浏览器里输入b.htm的地址,然后点击连接去c.htm,那显示的结果是b.htm,

如果我在浏览器里直接输入的是c.htm那显示的是c.htm

[b]referer是浏览器在用户提交请求当前页面中的一个链接时,将当前页面的URL放在头域中提交给服务端的,如当前页面为a.html,它里面有一个b.html的链接,当用户要访问b.html时浏览器就会把a.html作为referer发给服务端.[/b]

二、那么如何运用"referer" 来防止盗链下载呢
我们考虑了用filter实现 

public class DefendSteal implements Filter
{

	protected FilterConfig filterConfig;
	protected String[] allowsites;
	protected String[] files;
    public DefendSteal()
    {

    }

    public void destroy()
    {

    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException
    {
    	HttpServletRequest req = (HttpServletRequest)request;
    	HttpServletResponse res = (HttpServletResponse)response;
        String suff = req.getRequestURL().substring(req.getRequestURL().lastIndexOf(".")+1);
        System.out.println("referer:"+req.getHeader("referer"));
        for(int j=0;j<this.files.length;j++){//判断是否有需要阻止的文件类型
        	if(suff.equalsIgnoreCase(this.files[j])){
                if(req.getHeader("referer")==null||"".equals(req.getHeader("referer"))){//这种情况是直接访问实体文件,可防止下载
                	res.sendRedirect(req.getContextPath()+"/NotExist.html");
                }else{
                	int i=0;
                	for(i=0;i<this.allowsites.length;i++){
                		if(req.getHeader("referer").indexOf(allowsites[i])>=0){
                    		break;
                    	}
                	}
                	if(i==this.allowsites.length){//不在允许站点列表里,则阻止,这种情况是盗链
                		res.sendRedirect(req.getContextPath()+"/NotExist.html");
                	}
                }
                break;
            }
        }
        chain.doFilter(request, response);
    }

    public void init(FilterConfig filterConfig)
        throws ServletException
    {
        this.filterConfig = filterConfig;
        String strSite = filterConfig.getInitParameter("allowsite");
        allowsites = strSite.split(";");
        String strfile = filterConfig.getInitParameter("file");
        files = strfile.split(";");
    }
}


对应的web.xml文件配置如下: 



在web.xml中加下如下:

<filter>
    <filter-name>DefendSteal</filter-name>
    <filter-class>filters.DefendSteal</filter-class>
    <init-param>
      <param-name>allowsite</param-name>
      <param-value>172.19.33.48;172.19.33.91</param-value>
    </init-param>
    <init-param>
      <param-name>file</param-name>
      <param-value>flv;gif</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>DefendSteal</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>


Allowsite为否充访问的站点
File 为被监测的文件类型

附: 深入理解HTTP协议
http://www.blogjava.net/zjusuyong/articles/304788.html
kennethf6986
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
盗链的方法
网际浪子专栏(曾用名littlehb)
10-25 973
防止盗链下载问题    经常在网络上四处载东西,有时碰到直接拷贝一个类似http://193.100.100.56/TestWebSolution/WebApplication1/test.rar地址准备下载test.rar文件时,却被告知没有登录或者直接跳转到其他页面的情况,然后等登录后直接下载该文件。要实现上面情况,在.NET世界里是比较容易的。1、  首先创建一个类库项目ClassLib
使用php伪造referer的方法 利用referer防止图片盗链
10-26
标题中的“使用PHP伪造Referer的方法 利用Referer防止图片盗链”涉及到的是Web开发中的HTTP头部信息处理,特别是如何使用PHP来控制和利用HTTP Referer字段来防止图片资源被其他网站非法引用,即图片盗链。...
referer 防盗链
sheldon的专栏
10-25 9429
盗链[referer] 防盗链要实现的是这样一种效果:比如说其他的网站引用本网站的图片资源,将会显示一个错误图片,只有是本网站内的网页引用时候,图片才可以正常显示。这种应该是比较常见的,例如经常逛论坛的人会看到别人贴的图显示出来是一个错误图片,如百度图片不可以外链等,用到的就是这个Filter。 首先说下Filter的工作区域是在客户端请求request抵达Servlet之前和服务器
利用请求头Referer防止盗链
参与感
04-07 3065
盗链首先是为了保护我们的服务器,现在有的网站为了吸引人气会链接我们网站的一些链接,我们可以利用盗链来甄别下载请求的主机和我们web站点的主机是否在同一个ip。 /** * 防盗链 */ public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletExc
HTTP_REFERER的用法及伪造
热门推荐
且行且吟
11-13 10万+
引言在php中,可以使用$_SERVER[‘HTTP_REFERER’]来获取HTTP_REFERER信息,关于HTTP_REFERER,php文档中的描述如下: “引导用户代理到当前页的前一页的地址(如果存在)。由 user agent 设置决定。并不是所有的用户代理都会设置该项,有的还提供了修改 HTTP_REFERER 的功能。简言之,该值并不可信。 ” 在百度百科中,对于该参数的描
Java 通过设置Referer反盗链
09-05
Java中,我们可以利用`java.net.URLConnection`类来创建网络连接并设置自定义的请求头,从而模拟合法的`Referer`,以达到下载受保护资源的目的。以下是一个名为`ImageDownloader`的Java类,专门用于通过设置`Referer...
Nginx设置Referer来防止盗图的实现方法
09-29
为了解决这个问题,我们可以利用Nginx服务器的配置功能,通过检查HTTP请求头中的Referer字段来防止盗图。Referer字段通常记录了用户是从哪个页面点击链接到达当前页面的,可以作为判断请求来源合法性的一个依据。 ...
asp.net 防止盗链下载文件示例
03-22
在ASP.NET中,防止盗链下载文件是一项重要的安全措施,尤其对于那些提供付费或版权受保护的资源下载的网站来说。盗链指的是其他网站通过链接直接引用你的服务器资源,这可能导致带宽消耗过大,影响正常用户的访问...
2024 TI杯电子工程设计大赛工程资料
最新发布
07-24
移植的驱动:TFTLCD屏幕、触控IC、AD9910(DDS)、SI5351(时钟发生芯片) 所有驱动的通信部分被优化和重写(不超频的情况下),实现外设最佳性能表现 开发的算法 优化算法(gd.h):实现二阶余弦退火梯度下降法 FFT相关(fft.h):高精度FFT采样分析(与SI5351配合实现) 软件解调AM和FM信号 通信相关(fpga_spi.h):实现与FPGA的私有协议(类SPI)通信 波形生成(fmam_gen.h):实现DDS产生FM、AM调制波形 实现DAC产生FM、AM调制波形 方波周期测量(app.c)
年终总结汇报PPT模板(15)三个文档.pptx
07-24
年终总结汇报PPT模板(15)三个文档.pptx
Dell H330 RAID至原厂HBA固件IT版Crossflash工具.zip
07-24
在IT领域,RAID(Redundant Array of Independent Disks,独立磁盘冗余阵列)是一种技术,用于提升硬盘存储系统的性能、可靠性和数据冗余。Dell H330是一款广泛使用的服务器级RAID控制器,它为用户提供了一种灵活的方式来管理服务器中的硬盘驱动器。"Crossflash"是将一种固件或配置应用于不兼容硬件的过程,但在这个场景中,它是将Dell H330 RAID卡的固件刷写成直通(IT,Independent Technology)模式。 直通模式是RAID控制器的一种工作模式,它允许系统直接与硬盘驱动器通信,而不需要RAID功能。这种模式通常用于不需要RAID级别的数据保护,而是追求极致性能的应用,例如数据库服务器或者高I/O需求的工作站。 在Dell H330上执行“Crossflash”到直通模式的操作,用户可以实现以下几点: 1. **性能提升**:直通模式消除了RAID控制器处理数据的额外步骤,理论上能提供更高的硬盘读写速度,对于不需要RAID功能的环境特别有益。 2. **降低成本**:使用直通模式时,用户无需购买额外的RAID
前端分析-202307110022
07-24
前端分析-202307110022
Visual Studio 2022的学习.pdf
07-24
Visual Studio 2022的学习.pdf
c语言课程设计-职工资源管理系统.rar
07-24
基于C语言、C++、C#的课程\毕业设计,可供学习参考。
使用15单片机做的传感器课设,传感器包括火焰,ds18B20,ds1302,数码管,DHT11等外设
07-24
其中用了iic和onewire总线
1985-2021年 全国金融银行分支机构数据库.zip
07-24
数据整理全国金融分支机构数据,整理现存的商业银行分支机构数据,以及包括注销、吊销的分支机构信息,数据总量为40多万条,来源于银监会金融许可证信息公示平台,根据国家企业的信用信息公示系统,获取了所有现存以及所有注销吊销的银行分支机构数据。 数据指标 银行名称、登记状态、法定代表人、注册资本、成立日期、核准日期、所属省份、所属城市、所属区县、电话、邮箱、统一社会信用代码、纳税人识别号、注册号、组织机构代码证、参保人数、企业类型、所属行业、曾用名、网址、企业地址、年报地址、经营范围
2006-2021年 全国地级市用电量统计数据.zip
07-24
全社会用电量是是指一二三各个产业等用电领域电能消耗的总量,包括工业用电,商业用电,居民用电、居民用电、公共设施以及​其他用电等。 用电量主要用于研究能源消费统计、生产设备和产品能耗、贸易能耗结算等方面,是非常重要的一个经济指标,以及能源消费​指标。 数据整理2006-2021年,06-19年统计数据来源于中国城市统计年鉴,19之后城市统计年鉴不在更新,所以20年和21年的数据从各省级统计年鉴、统计公报以及地级市统计年鉴中查询人工整理。 相关指标 地区、城市、年份、全社会用电量(亿千瓦时)​
个人单页简历素材-文艺单页04.docx
07-24
【简历模板】工作总结、商业计划书、述职报告、读书分享、家长会、主题班会、端午节、期末、夏至、中国风、卡通、小清新、岗位竞聘、公司介绍、读书分享、安全教育、文明礼仪、儿童故事、绘本、防溺水、夏季安全、科技风、商务、炫酷、企业培训、自我介绍、产品介绍、师德师风、班主任培训、神话故事、巴黎奥运会、世界献血者日、防范非法集资、3D快闪、毛玻璃、人工智能等等各种样式的ppt素材风格。 设计模板、图片素材、PPT模板、视频素材、办公文档、小报模板、表格模板、音效配乐、字体库。 广告设计:海报,易拉宝,展板,宣传单,宣传栏,画册,邀请函,优惠券,贺卡,文化墙,标语,制度,名片,舞台背景,广告牌,证书,明信片,菜单,折页,封面,节目单,门头,美陈,拱门,展架等。 电商设计:主图,直通车,详情页,PC端首页,移动端首页,钻展,优惠券,促销标签,店招,店铺公告等。 图片素材:PNG素材,背景素材,矢量素材,插画,元素,艺术字,UI设计等。 视频素材:AE模板,会声会影,PR模板,视频背景,实拍短片,音效配乐。 办公文档:工作汇报,毕业答辩,企业介绍,总结计划,教学课件,求职简历等PPT/WORD模板。
referer防止csrf
06-11
是的,Referer可以用来防止跨站请求伪造(CSRF)攻击。CSRF攻击利用用户已登录的身份,在用户不知情的情况下向服务器发送恶意请求。通过检查请求的Referer头部,服务器可以确定请求的来源是否合法。如果Referer头部...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值