防盗链之基于springboot过滤器实现

最新推荐文章于 2023-05-12 16:13:45 发布
最新推荐文章于 2023-05-12 16:13:45 发布
阅读量1.4k 收藏 7
点赞数
分类专栏: 小白笔记 文章标签: spring boot 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31878883/article/details/121268482
版权

文章目录

防盗链之基于springboot过滤器实现

什么是盗链

内容不在自己的服务器上,通过技术手段将其他网站的内容(图片,音乐,软件等) 放置在自己的网站中,通过这种方式盗取其他网站的空间和流量,减轻自己服务器的负担。
举个例子我们服务器上有一个播放视频的地址,其他的网站用户就可以将我们的视频地址引用到他们的网站上,他们服务器实际没有任何开销,却能以此吸引用户!

什么是盗链

防盗链的原理

根本原理是基于HTTP协议中的Referer请求头,当浏览器向web服务器发送请求时, 一般会带上Referer请求头,告诉服务器请求时从哪个页面链接过来的,服务器以此可以获得一部分信息用于处理。
比如在我们的博客上放一个友情链接,他便能通过Referer来统计出每天有多少用户是通过我们的友链来访问他的网站。所以我们也能通过referer请求头来判断我们的链接是否被盗用。

注: 有时候一个http请求中是没有referer请求头的,例如直接在浏览器地址栏输入一个url;根据Referer的定义,他的作用是指示一个请求是从哪里链接过来,那么当请求并不是链接触发产生的,那么自然也就不需要指定referer请求头信息。

防盗链实现

防盗链的实现方式有很多种,这里我们主要介绍springboot中防盗链的实现,因为我们的接口程序也有一些是需要对外开放的,但是我们并不想或者是说想更自由的去处理防盗链。springboot中也有很多种方式实现此功能,过滤器,拦截器,切面等等,
但是我更推荐使用过滤器来实现,因为所有请求最先进入的就是过滤器。具体实现逻辑就是使用过滤器实现,具体逻辑请参考我们的代码。

实现代码

  1. 创建防盗链过滤器

import com.fasterxml.jackson.databind.ObjectMapper;
import org.apache.http.HttpStatus;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.http.HttpHeaders;
import org.springframework.http.MediaType;

import javax.servlet.FilterConfig;
import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

/**
 * 防盗链过滤器
 *
 * @author Lengff
 * @version 1.0
 * @date 2021-11-11 10:53
 */
public class RefererFilter implements Filter {
    private Logger log = LoggerFactory.getLogger(RefererFilter.class);

    public static final String REFERER_WHITE_KEY = "refererWhiteKey";
    // 链接白名单
    private String[] refererWhite;

    @Override
    public void init(FilterConfig filterConfig) {
        String refererWhites = filterConfig.getInitParameter(REFERER_WHITE_KEY);
        if (refererWhites != null && !"".equals(refererWhites)) {
            refererWhite = refererWhites.split(",");
        }
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

        if (isSafe((HttpServletRequest) servletRequest)) {
            filterChain.doFilter(servletRequest, servletResponse);
        } else {
            handleResponse((HttpServletResponse) servletResponse);
        }

    }

    @Override
    public void destroy() {

    }

    /**
     * 判断请求是正确
     *
     * @param request
     * @return
     */
    private boolean isSafe(HttpServletRequest request) {
        if (refererWhite == null || refererWhite.length < 1) {
            // 未设置任何链接,表示所有来源都可以访问
            return true;
        }
        String referer = request.getHeader("referer");
        if (referer == null || "".equals(referer)) {
            // 获取不到防盗链头部信息 -> 拦截
            return false;
        }
        for (String white : refererWhite) {
            if (white.contains("*.")) {
                // 这里处理*.xxx.com,表示xxx.com下的所有二级域名均可访问,所以就截取掉'*.'符号
                white = white.replace("*.", "");
            }
            // 这里就简单的判断referer请求头中的链接是否包含我们白名单中的域名
            if (referer.contains(white)) {
                return true;
            }
        }
        return false;
    }

    /**
     * 处理相应数据
     *
     * @param response
     */
    public void handleResponse(HttpServletResponse response) {
        // 访问链接有问题
        try {
            Map<String, String> resultMsg = new HashMap<>();
            resultMsg.put("code", String.valueOf(HttpStatus.SC_FORBIDDEN));
            resultMsg.put("msg", "资源不允许");
            ObjectMapper objectMapper = new ObjectMapper();
            String msg = objectMapper.writeValueAsString(resultMsg);
            response.setHeader(HttpHeaders.CONTENT_TYPE, MediaType.APPLICATION_JSON_UTF8_VALUE);
            response.setStatus(HttpStatus.SC_INTERNAL_SERVER_ERROR);
            response.getWriter().write(msg);
        } catch (IOException e) {
            log.error("防盗链过滤器处理response失败", e);
        }
    }

}
  1. 配置过滤器

import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.Ordered;

import java.util.HashMap;
import java.util.Map;

/**
 * 过滤器配置
 *
 * @author Lengff
 * @version 1.0
 * @date 2021-11-11 10:52
 */
@Configuration
public class FilterConfig {

    /**
     * 注册防盗链过滤器
     *
     * @return
     */
    @Bean
    public FilterRegistrationBean<RefererFilter> registrationRefererFilter() {
        RefererFilter refererFilter = new RefererFilter();
        FilterRegistrationBean<RefererFilter> registrationBean = new FilterRegistrationBean<>();
        registrationBean.setName(RefererFilter.class.getName());
        registrationBean.setFilter(refererFilter);
        // 拦截url规则(这里拦截全部)
        registrationBean.addUrlPatterns("/*");
        Map<String, String> initParam = new HashMap<>();
        // 配置链接白名单,逗号分隔 (这里我们可以在配置文件中配置)
        initParam.put(RefererFilter.REFERER_WHITE_KEY, "www.baidu.com,www.qq.com");
        registrationBean.setInitParameters(initParam);
        // 设置优先级(默认最高优先级)
        registrationBean.setOrder(Ordered.HIGHEST_PRECEDENCE);
        return registrationBean;
    }
}

总结

我这里讲的是最简单的防盗链,现实情况时还有很多反防盗链,要做到绝对的防盗链还是要根据实际使用情况结合自身情况出发。

Lengff12138
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于ISAPI Rewrite软件实现IIS图片防盗链方法
01-20
下面的操作,可能引起用户的反感,如果访客想从你这个页面,保存个图片都是不能的,用户体验何在啊。实施步骤:   1.下载比较出名的www.helicontech.com提供的ISAPI Rewrite软件的免费版本(免费版本虽然有一些功能上的限制,但是做防盗链足够了):   http://www.isapirewrite.com/download/isapi_rwl_x86_0072.msi   2.设置软件安装目录的IIS_WGP组的读写权限(重要,如果不设置安装完后你的网站就会直接Service Unavailable,无法访问)。   设置方法:   假如你的安装目录是D:Program
SpringBoot集成FastDFS+Nginx整合基于Token的防盗链的方法
08-26
主要介绍了SpringBoot集成FastDFS+Nginx整合基于Token的防盗链的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
防盗链springboot代理模式(图片文件转发)
weixin_33958585的博客
01-01 576
在搭建自己的博客网站的时候,很有可能要引入一些外部图片,毕竟多数人最开始不是在自己的平台上写博客。 因某种需要,搬运自己以前写的博客到自己的网站时,在图片这一步可能会出现问题,无法显示。其中往往就是防盗链在起作用了 防盗链 定义 百度百科给的解释是 此内容不在自己服务器上,而通过技术手段,绕过别人放广告有利益的最终页,直接在自己的有广告有利益的页面上向最终用户提供此内容。 常常是一些名不见经传...
SpringBoot Referer防盗链
悬崖上的剁椒鱼头的博客
10-17 2011
实践出真知,本教程简单粗暴 1.直接贴代码 package ***.***.referer; import java.util.List; import org.springframework.boot.context.properties.ConfigurationProperties; import org.springframework.stereotype.Component; im...
防盗链完美解决方案
12-12
防盗链完美解决方案 防盗链完美解决方案,提供给你一些安全的方法。
Java springboot过滤器实现防盗链
Jimmy12581的博客
11-02 853
实现原理:HTTP协议响应头中包含的Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。所以我们可以通过得到响应头中包含的referer来判断其请求来自哪里,如果不是本系统页面的请求则可能是盗链(referer包含的是请求发过来的源页面,而对于浏览器地址栏直接发送的请求referer为空)。 代码实现: 1.添加一个类,继承Filter package com.app.test.common.security.http; import com.app...
阿里云对象存储之文件上传
weixin_53998054的博客
08-19 1267
文件上传
Spring Boot笔记
weixin_47585404的博客
02-08 217
**一、**Spring Boot 入门 这里的笔记不全,需要去看Spring Boot 2 学习笔记(1 / 2)_KISS-CSDN博客 SpringBoot 2 学习笔记(2 / 2)_KISS-CSDN博客 如果看不懂笔记就根据笔记所在目录去简单浏览一下教学视频 1、Spring Boot 简介 简化Spring应用开发的一个框架; 整个Spring技术栈的一个大整合; J2EE开发的一站式解决方案; 2、微服务 2014,martin fowler 微服务:架构风格(服务微化) 一个应用应该是
SpringBoot + thymeleaf + mysql + html<video> 实现读取视频列表并播放视频
CJW的博客
04-14 4103
SpringBoot + thymeleaf 实现读取视频列表并播放视频 通过读取数据库video表获取当前视频的视频名、视频地址,展示至前端页面videorecord.html,通过点击播放按钮获取数据id进而得到所选视频地址,跳转播放视频显示页videoshow.html,播放所选视频。当然本案例只是为了展示主要的一些功能,其他比如跳转、页面布局美化等可以自行进行更改。 效果 实现过程 后端程序示例 1. Controller层示例 返回数据库数据时,使用了pagehelp当中的PageInfo
servlet高级应用过滤器防盗链等一系列技术工具打包
08-25
本资源包含 防盗链 、字符编码过滤、日志、异常处理、权限管理、字符过滤、图片水印、Cache缓存等 可直接使用 使用方法请看配置文件
jsp实现防盗链的方法
10-23
主要介绍了jsp实现防盗链的方法,通过判断来路地址实现针对外部访问的过滤功能,具有一定参考借鉴价值,需要的朋友可以参考下
springboot整合fastdfs纯净版(只有配置和测试类)
03-16
这是我自己做的springboot整合fastdfs的demo,只有简单的测试类,有需要的可以下载看下
fastDFS+SpringBoot实现文件上传和下载(防盗链)
孟孟的博客
12-30 1万+
FastDFS内置防盗链采用Token的方式。Token是带时效的,也就是说在设定的时间范围内,比如1分钟,token是有效的。token包含了文件id、时间戳ts和密钥。 FastDFS在URL中带上当前时间戳和带时效的token,参数名分别为ts和token。Token的生成和校验都是在服务端,因此不会存在安全问题。 例如: http://你的IP/meng/...
Spring Cloud Gateway系列【6】GlobalFilter全局过滤器详解
记录知识、锤炼自我
12-02 1万+
前言 GlobalFilter是应用于所有路由的特殊过滤器。 GlobalFilter接口的实现类如下图所示: 每个类的说明如下: 当请求与路由匹配时,Web 处理程序会将所有的GlobalFilter和特定的GatewayFilter添加到过滤器链中。这个组合过滤器链是按org.springframework.core.Ordered接口排序的,也通过实现getOrder()方法来设置。 默认全局过滤器 ForwardRoutingFilter ForwardRoutingFilter在ServerW
SpringCloud Gateway GlobalFilter自定义全局过滤器
追寻心的步伐
05-12 1236
其中,FilterChain维护了一个链表,链表中存放着配置对象的链条,每次用户调用 一次chain.doFilter(request, response),链表就去取下一个配置对象,再通过配置对象 得到下一个filter,然后调用该filter,接着在filter里写的逻辑就被执行了。通过实现GlobalFilter和Ordered这两个接口中的filter(进行全局过滤)和getOrder(指定过滤器的优先级)方法。自定义过滤器的方法是实现GlobalFilter接口、实现Ordered接口。
Spring Boot整合FastDFS,开启token防盗链
Knight of Zero
05-14 2516
FastDFS部署参考这里 FastDFS_Client使用 添加依赖 FastDFS_Client:项目地址 Simplemagic:项目地址 pom.xml中添加: <dependency> <groupId>com.github.tobato</groupId> <artifactId>fastdfs-client</artifactId> <ver
跨站点请求伪造 - SpringBoot配置CSRF过滤器
C3Stones
09-20 5312
1. SQL盲注、SQL注入   风险:可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。原因:应用程序使用的认证方法不充分。固定值:验证“Referer”头的值,并对每个提交的表单使用 one-time-nonce。 2. pom.xml添加依赖 <dependency> <groupId&...
vue 获取本地的json文件内容
热门推荐
Lengff
05-16 1万+
很多时候我们需要从本地读取JSON文件里面的内容,但是找了很久我都沒有找到比较实用的;所以分享一下我的vue获取本地json文件的方法。 我的项目结构 获取方法 其实就是用模拟get请求的方法拿到json文件,然后再解析,但是在这之前我们需要对请求头做一下处理,否则拿不到文件 const newInstance = this.$ajax.create({ ...
javaweb防盗链实现
最新发布
10-23
在JavaWeb中,防盗链是指通过一些技术手段,防止其他网站直接链接到本站的资源,从而保护本站的资源不被盗用。常见的防盗链技术包括:HTTP Referer检查、加密URL、动态生成图片等。其中,HTTP Referer检查是最常用的一种方法。具体实现方法可以通过在web.xml中配置Filter或者在JSP页面中嵌入Java代码实现。在JSP页面中嵌入Java代码实现防盗链的方法可以使用<exec:ref/>代替嵌套在JSP文件中的Java代码,从而简化页面布局,使繁琐的Java代码从JSP页面中消失。同时,也可以通过创建RefTag类并继承SimpleTagSupport类,覆盖父类的doTag()方法来实现防盗链。在doTag()方法中,需要获取request对象和response对象,然后通过request.getHeader("Referer")方法获取请求头中Referer字段中的内容,判断是否是合法的请求,如果不合法则重定向到合法主页并返回,不显示余下的内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值