referer头与防盗链

最新推荐文章于 2024-07-24 23:40:45 发布
最新推荐文章于 2024-07-24 23:40:45 发布
阅读量5.7k 收藏 1
点赞数
分类专栏: PHP-CI学习 文章标签: network .htaccess http协议 apache

一、图片防盗链原理
http标准协议中有专门的字段记录referer
一来可以追溯上一个入站地址是什么
二来对于资源文件,可以跟踪到包含显示他的网页地址是什么
因此所有防盗链方法都是基于这个Referer字段


如果是直接在浏览器上输入地址,回来进来,则没有referer头。


这也是:为什么服务器知道我们的图片是从哪儿引用的,也知道我们的客户从哪个网站链接点击过来的。

二、为什么
问题:如何配置apache服务器,用于图片防盗链?
原理:在web服务器层,根据http协议的referer头信息,来判断。
如果来自站外,则统一重写到一个很小的防盗链提醒图片上去。


具体步骤“:
1:打开apache重写模块mod_rewrite
2:在需要防盗的网站或目录,写.htaccess文件,并制定防盗链规则


三、Apache防盗链配置
Apache防盗链的配置
  Apache 防盗链的第一种实现方法,可以用 Rewrite 实现。首先要确认 Apache 的 rewrite module 可用:能够控制 Apache httpd.conf 文件的,打开 httpd.conf,确保有这么一行配置:

[plain]  view plain copy
  1. LoadModule rewrite_module modules/mod_rewrite.so  
  然后在相应虚拟主机配置的地方,加入下列代码:
ServerName www.--.com
# 防盗链配置 参数
[plain]  view plain copy
  1. RewriteEngine On  
  2. RewriteCond %{HTTP_REFERER} !^htp://--.com/.*$ [NC]  
  3. RewriteCond %{HTTP_REFERER} !^htp://<span style="font-family: Arial, Helvetica, sans-serif;">--</span>.com$ [NC]  
  4. RewriteCond %{HTTP_REFERER} !^htp://--.xxx.com/.*$ [NC]  
  5. RewriteCond %{HTTP_REFERER} !^htp://--.xxx.com$ [NC]  
  6. RewriteRule .*\.(gif|jpg|swf)$ htp://--.xxx.com/img/nolink.gif [R,NC]  
  --.com/www.--.com 表示自己的信任站点。gif|jpg|swf 表示要保护文件的扩展名(以|分开)。nolink.gif 盗链后的重定向页面/图片。用以输出警示信息,这张图片应该尽可能的小。
  有些用户使用的是虚拟主机,没有服务器的控制权,无法修改 httpd.conf 文件和重启服务器。那么请确认你的虚拟主机支持 .htaccess,将上面的配置写入 .htaccess 文件,放入根目录或图片所在的目录即可:
# 防盗链配置
[php]  view plain copy
  1. RewriteEngine On  
  2. RewriteCond %{HTTP_REFERER} !^htp://--.com/.*$ [NC]  
  3. RewriteCond %{HTTP_REFERER} !^htp://--.com$ [NC]  
  4. RewriteCond %{HTTP_REFERER} !^htp://www.--.com/.*$ [NC]  
  5. RewriteCond %{HTTP_REFERER} !^htp://www.--.com$ [NC]  
  6. RewriteRule .*\.(gif|jpg|swf)$ htp://www.--.com/img/nolink.gif [R,NC]  
  通过判断referer变量的值,判断图片或资源的引用是否合法,只有在设定范围内的 referer,才能访问指定的资源,从而实现了防盗链(Anti-Leech)的目的。需要指出的是:不是所有的用户代理(浏览器)都会设置 referer 变量,而且有的还可以手工修改 referer,也就是说,referer 是可以被伪造的。本文所讲的,只是一种简单的防护手段。当然,应付一般的盗链也足够了。

夜未眠1989
关注
专栏目录
Referer原理与图片防盗链实现方法详解
10-16
基于Referer的原理,实现图片防盗链的常规做法是在服务器端配置规则,过滤请求中的Referer信息。如果Referer信息不符合预设条件,则拒绝提供资源。例如,有些网站会设置规则,只有当Referer信息中包含特定的...
Ceph-Radosgw开发实践之防盗链(一)
认真就赢了
01-06 1595
认识一个软件最好的方法就是在它已有的基础上进行二次开发,添加新的功能.     本系列”Ceph-Radosgw开发之防盗链”文章就是在通过开发目前Ceph-RGW(Firefly版本)还没有的防盗链功能来加深对Ceph以及对象存储网管(Radosgw)地认识和理解,此过程会深入到代码细节.     注意:对于Ceph或者Radosgw(RGW)的基础知识不会过多或者特意提及.什么是防盗链
Referer的理解及防盗链
weixin_64311421的博客
01-09 6796
Referer利用https网站盗链http资源网站,利用iframe伪造请求、利用XMLHTTPRequest请求是否能修改字段
SpringBoot 依赖之Spring Session
最新发布
ahauedu的专栏
07-24 727
通过以上步骤,你在 IntelliJ IDEA 中创建了一个 Spring Boot 项目,添加了 Spring Session 依赖,并配置了会话的管理和属性。通过简单的控制器类,你可以测试会话的创建和获取功能。这些步骤可以帮助你快速上手使用 Spring Session 来管理 HTTP 会话。
nginx(四十九)使用referer模块和secure_link模块提供变量防盗链
wzj_110的博客
11-16 1980
nginx防盗链
跨站点请求伪造 - SpringBoot配置CSRF过滤器
C3Stones
09-20 5625
1. SQL盲注、SQL注入   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证“Referer”的值,并对每个提交的表单使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
HTTP防盗链(Referer)
嗯哼的博客
03-23 6998
HTTP请求防盗链:只允许某些域名请求来源才可以访问。比如A网站有一张图片或音频等资源被B网站直接通过img等标签属性引入使用,这样就是B网站盗用了A网站的资源。那么对于A网站来说,流量怎么被消耗的都不知道。 解决思路: 判断http请求Referer域中的请求来源的值,如果和当前访问的域名(或者被允许的一些域名)不一致的情况下,说明该图片可能被其他服务器盗用。 注意:上句话中括弧中:被允许的一些域名,这个是基于黑白名单而言的,拦截请求,判断请求Referer是否包含黑名单的域名,包含则拦.
部分网站允许空白referer的防盗链图片的js破解代码
10-28
一般情况下,当用户通过浏览器正常访问网站时,浏览器会自动发送Referer部信息,但当网站有防盗链策略时,如果请求的来源不是网站自己的网页,服务器可能会拒绝提供资源,导致图片或其他资源显示失败。 然而,...
nginx利用referer指令实现防盗链配置
09-30
Nginx 提供了一个名为 ngx_http_referer_module 的模块,专门用于处理 HTTP 请求中的 `Referer` 字段,从而实现防盗链功能。本文将详细介绍如何利用 Nginx 的 `referer` 指令进行防盗链配置。 `Referer` 字段在 ...
request.getHeader("referer")防盗链
05-07
然而,"Referer"同样可以被用来实施防盗链措施。当一个网站的图片、视频或者其他可下载资源被其他网站直接引用时,如果没有采取防盗链措施,原始资源提供者可能会遭受流量损失甚至版权侵犯。因此,服务器端可以...
referrer防盗链
04-24 1212
referrer防盗链”是互联网技术中一种防止资源被盗用的防护机制,主要用于保护服务器上的文件或内容不被未经授权的网站引用。在HTTP协议中,referer(也写作referrer)是请求的一部分,它会告诉服务器发起这次请求的网页URL。防盗链通过检查这个referer字段来判断请求是否合法:只有当请求的referer来源是我们允许的域名或者IP地址时,服务器才返回请求的资源,否则拒绝提供服务。
HTTP请求referer,防盗链的问题
只会div的博客
02-14 2580
排查发现,第三方链接使用的是 阿里云对象存储OSS(AliyunOSS),在 OSS 控制台开启了 Referer防盗链。 前端在跳转链接时,默认会在被访问的链接请求上添加 Referer 。如下图。 由于前端项目的域名没有在 第三方 Referer防盗链 的白名单中,所以在访问时,会抛出错误 `AccessDenied, You are denied by bucket referer policy`.。
如何用Nginx为自己的网站资源加上防盗链保护?Referer or secure_link
StoNENee的博客
05-19 1813
使用Nginx的Referer和secure_link为自己的网站资源加上防盗链保护?
Referer伪造,防盗链与反盗链相关
热门推荐
胡杰的专栏
08-20 2万+
Referer伪造,防盗链与反盗链相关 Referer简介 伪造http-referer的方法
验证HTTP Referer字段
紫天专栏
06-25 1万+
1 、CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。   1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未
利用referer防止盗链下载
Jerry_Dui的专栏
04-03 1544
【这篇是在网上看到的关于referer的文章,还有些不明白,转过来大家待日后再好好研究一下】 一、首先了解下 referer 的原理  request.getHeader("referer")  在开发web程序的时候,有时我们需要得到用户是从什么页面连过来的,这就用到了referer。  它是http协议,所以任何能开发web程序的语言都可以实现,比如jsp中是:  request
ceph radosgw的一些理解
BigTiger的博客
06-17 7427
Ceph本质上就是一个rados,利用命令rados就可以访问和使用ceph的对象存储,但作为一个真正产品机的对象存储服务,通常使用的是Restful api的方式进行访问和使用。而radosgw其实就是这个作用,安装完radosgw以后,就可以使用api来访问和使用ceph的对象存储服务了。 首先明白一下架构,radosgw其实名副其实,就是rados的一个网关,作用是对外提供对象存储服务。本质...
如何实现网站的防盗链
weixin_33894640的博客
07-22 966
背景 A是网站站长,在A的网站的网页里有一些图片和音频视频的链接,这些静态资源都保留在阿里云对象存储OSS上。B是另一个网站的站长,B在未经A允许的情况下,偷偷使用A的网站的图片资源,放置在自己网站的网页中,通过这种方法盗取空间和流量。 在这样的情况下,第三方网站用户看到的是B的网站,网站用户不知道也不关心网站里的图片是来自于哪里。 由于OSS是按照使...
rgw bucket 防盗链
huangaijuan1的博客
07-17 804
防盗链实现方式 https://yq.aliyun.com/articles/57931 签名URL可以和Referer白名单功能一起使用,可以增加防盗链的效果。 设置Referer 原理:https://blog.csdn.net/qq_38002337/article/details/79664251 Referer是HTTP Header的一部分,当浏览器向网站Web服务器发送请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值