java 防盗链详解及解决办法（针对类似帆软报表第三方可能遇到的问题）

最近在做帆软的报表时发现随意在一个页面里访问某一报表就能访问到数据，于是在发现了有防盗链这一问题，即加一层过滤。

http://help.finereport.com/doc-view-1429.html

以上是帆软提供的参考，仅仅是参考，不要照搬，根据实际情况写逻辑。

一.防盗链的概念

内容不在自己的服务器上，通过技术手段将其他网站的内容（比如一些音乐、图片、软件的下载地址）放置在自己的网站中，通过这种方法盗取其他网站的空间和流量。

二.防盗链的产生

一般情况下，http请求时，一个完整的页面并不是一次全部传送到客户端的。如果请求的是一个带有许多图片和其它信息的页面，那么最先的一个Http请求被传送回来的是这个页面的文本，然后通过客户端的浏览器对这段文本的解释执行，发现其中还有图片，那么客户端的浏览器会再发送一条Http请求，就这样一个完整的页面也许要经过发送多条Http请求才能够被完整的显示。基于这样的机制，就会产生一个问题，那就是盗链问题：就是一个网站中如果没有起页面中所说的信息，例如图片信息，那么它完全可以将这个图片的连接到别的网站。这样提高自己访问量的同时，加大了对别人服务器的负载。

三.Http中的referer

HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器我是从哪个页面链接过来的，服务器籍此可以获得一些信息用于处理。

四.Java解决防盗链

我们可以设置一个过滤器，拦截所有请求，在外部请求过来时提取出http中的referer，然后再进行判断，如果是本网站的来源，那么允许访问，否则拒绝。

package com.fr.test;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public  class DoorChain implements Filter {
    public void destroy() {
        // TODO Auto-generated method stub

    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)

            throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse resp = (HttpServletResponse) response;
        String smg="";
        String referer = req.getHeader("referer");
        System.out.println(referer);
        String loginUrl="http://" + req.getServerName()  + ":" + req.getServerPort()+"/WebReport/dist/index.html";
        //String loginUrl="http://192.168.31.203:8080/WebReport/dist/index.html";
        if(null == referer){
            String strBackUrl = "http://" + req.getServerName() // 服务器地址
                    + ":" + req.getServerPort() // 端口号
                    + req.getContextPath() // 项目名称
                    + req.getServletPath(); // 请求页面或其他地址
            if(null!=req.getQueryString()&&!"".equals(req.getQueryString())){
                strBackUrl=strBackUrl+"?"+req.getQueryString();
            }

            System.out.println(strBackUrl);
            //if("http://localhost:8081/fineReport/test.do".equals(strBackUrl)){
            if((loginUrl).equals(strBackUrl)){// 服务器地址
                System.out.println("我是系统第一个界面");
                chain.doFilter(req, resp);
            }else{
                System.out.println("error:where are you from");
                resp.sendRedirect(loginUrl);
               // req.getRequestDispatcher("/error.html").forward(req, resp);
            }
        }else if(null != referer && referer.trim().startsWith("http://" + req.getServerName() + ":" + req.getServerPort())){ // 服务器地址
            System.out.println("正常页面请求");
            chain.doFilter(req, resp);
        }else{
            System.out.println("盗链");
            //http://192.168.31.203:8080/WebReport/dist/index.html
            resp.sendRedirect(loginUrl);
           // req.getRequestDispatcher("/error.html").forward(req, resp);

        }
    }
    public void init(FilterConfig arg0) throws ServletException {
        // TODO Auto-generated method stub

    }
}

这是我参照修改的。。盗链情况下跳转到登录界面。

但是各位要注意一个问题，通常情况下系统的第一个界面也是没有referer这个头的，所以要对第一个界面做一下操作，我这里是对第一个界面没有做拦截。若谁有更好地办法,希望留言交流。谢谢