盗链,指服务提供商不提供自己的服务,而是采用一定的技术手段直接获取其他网站提供的服务给用户使用。
举一个典型的例子:我们的网站提供了一个链接,用户可以利用这个链接下载到本网站的资源,而某个下载网站也有这个链接,用户点击了这个链接之后,会下载文件,但是不是在我们网站下载的,而是从这个下载网站下载的。
作为网站的开发者,我们并不想让其他人免费使用我们的链接进行下载,这就需要防止盗链的产生。
防盗链的思路
盗链产生的原因是一些不是我们发出的请求。那么如何检查一个请求是我们发出的呢?有以下方法。
1、检查HTTP_REFERER,这个就是检测上一个地址,判断是否是我们规定的地址,这个东西有可能会被伪造,并不是很靠谱,但是由于使用简单,也可以防止那些菜鸟级的盗链,不过现在使用并不多,因为它太简单了。
下面我们来实现一下:
我们允许mychain.php访问,不允许otherchain.php访问,真正的下载页面是realdownload.php。
mychain.php和otherchain.php都这样子写:
<html>
<a href ="realdownload.php">点击进入第二个页面</a>
</html>然后我们有一个realdownload.php来验证我们的url是否合法,如果合法就会直接下载DD.txt。
realdownload.php的代码如下:
<?php
if(strstr($_SERVER['HTTP_REFERER'], 'mychain')){
down();
}else{
echo "you are the other chain";
}
function down(){
$size = filesize("DD.txt");
header("Content-type:application/plain");
header("Accept-Length:".$size);
header("Accept-Ranges:bytes");
header("Content-Disposition:attachment;filename=aa.txt");
//打开该文件
$fp = fopen("DD.txt");
$buffer = 1024;//设置缓冲区
$count = 0;
//只要还没有到文件尾
//我们就读取1024个字节并输出
while(!feof($fp) and $count<$size){
$con = fread($fp,$buffer);
echo $con;
$count +=$buffer;
}
fclose($fp);
}
运行结果:
在地址栏中输入http://localhost:8087/daolian/mychain.php,然后点击链接,如图
这里说明已经下载了。
而我们在地址栏输入http://localhost:8087/daolian/otherchain.php,然后点击链接,就会提示你并不允许下载。
2、给一个临时连接地址,并且记录到coolie或者session里面,通常这种方法使用比较多,它的伪造还是比较难的,因为它相当于在服务器端产生了一个存根,只要对不上号,就无法下载。
这种技术目前还是比较常用的。它的原理是产生一个临时地址,并且记录到session里面去,而我们在下载页面用session来验证它,在验证完毕之后我们删除session。具体的下载代码就不写了。
我们写两个页面:
requestPage.php
<?php
session_start();
$key = "tt".rand(2,30);
$url = md5($key);
$_SESSION['check']=$url;
?>
<html>
<a href="responsePage.php?id=<?php echo $url?>">downloadpage</a>
</html>
responsePage.php
<?php
session_start();
if($_SESSION['check']==$_GET['id']){
echo "下载地址正确";
$_SESSION['check'] = "";
}else{
echo "you are the error page";
}运行如下:
由于id是每次请求时随机生成的,而且用完后立即删除,所以很难伪造。
下面给出一个错误的示例:
区别:第二种开销比较大一些,第一种方式小一些。
89
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
