【JavaWeb开发】Referer防盗链的详解

最新推荐文章于 2024-05-07 10:38:47 发布
最新推荐文章于 2024-05-07 10:38:47 发布
阅读量4.8k 收藏 35
点赞数 11
分类专栏: javaWeb 文章标签: http web java tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42495847/article/details/105428527
版权

1. 什么是Referer?

RefererHTTP 请求(requset) header 的一部分,当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里就有包含 Referer
比如我在www.csdn.net里点击一篇博客,那么点击这个博客,它的header信息里就有:

Referer=https://www.csdn.net/

如下图:request header有这么一行(从浏览器的开发者工具->NetWork->Header中看)
在这里插入图片描述
简单来说:Referer就是当前页面的上一页面
那么就可以根据Referer来判断你的页面是不是被盗取了,被另外一方的网站引用了。

小彩蛋:RefererReferrer的错误拼写,但HTTP/1.0 协议当时拼错了发现晚了,已经被大量使用,如果要改过来需要所有服务端、客户端的一致配合,还有大量的代码需要排查修改。于是,HTTP的标准制定者们决定将错就错,不改了。到今日,搜索Referer这个单词,发现解释也是跟Referrer一样的解释了,广为流传变成正确的了。

2. 为什么使用Referer?

防盗链

举个例子:
一个正版网站:www.163.com;其中有个页面是www.163.com/new.html
一个盗版网站:www.361.com;其中有个页面是www.361.com/new361.html
而盗版网站的链接有的是偷取的正版网站的链接,据为己有,这时候如果设置了防盗链就会被拦截,转到服务器想让它到的地方。
如图:
在这里插入图片描述

3. 什么是空Referer?

3.1 空Referer的定义(Referer="" || Referer=null):

  1. Referer 的内容为空;
  2. 一个 HTTP请求中根本不包含 Referer

3.2 什么时候 HTTP请求会不包含 Referer 字段呢?

Referer 代表的是上一个页面(请求地址),如果上一个请求地址是没有的,那么Referer 自然也是空的。

3.3 那么如何办到上一个页面是空的呢?

直接在浏览器的地址栏中输入一个资源的URL地址,这种方式的请求是不包含Referer的 ,这是一个“凭空产生”的 HTTP请求,并不是从一个地方链接过去的。

3.4 允许空Referer和不允许空Referer有什么区别?

  1. 允许 Referer 为空,意味着你允许浏览器或者重定向直接URL访问资源。
  2. 不允许为空,那么直接输入URL访问会被拦截。

4. 如何使用Referer?

情景模拟:(本例子在tomcat9环境下,低版本乱码请看本人另一篇博客解决:Servlet乱码解决)

4.1 建立一个山寨网站,盗取链接:

1.在d盘建立一个文件夹shanzhai(名字随意),再建立一个ROOT文件夹(一定大写),再其中写一个山寨网页
在这里插入图片描述
2.山寨内容(注意我的tomcat端口是8081,默认8080)

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>我是山寨网站www.361.com</title>
</head>
<body>
	<h1>我是山寨网站www.361.com</h1>
	<hr />
	<p>我是广告1</p>
	<a href="http://localhost:8081/RefererServlet">武汉加油!中国加油!</a>
	<p>我是广告2</p>
</body>
</html>

3.给山寨网站取一个域名www.361.com,到tomcat目录下/conf/server.xml中Engine标签内添加

<Host name="www.361.com" appBase="D:\shanzhai" />

在这里插入图片描述
4.到C:\Windows\System32\drivers\etc中修改hosts文件,在其末尾添加(代表访问www.361.com还是在访问本机哦)

127.0.0.1 www.361.com

4.2 建立一个web服务:一个Servlet和两个页面(Servlet3.0环境下)

1.web项目添加Servlet:RefererServlet(这个就是防盗链的控制器)

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
@WebServlet("/RefererServlet")
public class RefererServlet extends HttpServlet {
    private static final long serialVersionUID = 7883076061572095135L;

    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp)
            throws ServletException, IOException {
        doPost(req, resp);
    }

    @Override
    protected void doPost(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        request.setCharacterEncoding("utf-8");
        //获取HTTP header中的Referer
        String referer=request.getHeader("Referer");
        //判断Referer是否符合标准:不允许直接URL访问;不允许除了前缀http://localhost:8081的其他页面访问
        //我的tomcat的端口是8081,默认8080
        if (referer==null || "".equals(referer)|| !referer.startsWith("http://localhost:8081")){
            //不符合标准的送去官网
            response.sendRedirect("QQnews.html");
            return;//退出Servlet
        }
        //符合标准进入链接页面
        request.getRequestDispatcher("chinaNO1.html").forward(request,response);
    }
}

2.web项目添加正版网站页面和新闻内容页面
正版网站:腾讯新闻

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>腾讯新闻</title>
</head>
<body>
    <h1>腾讯新闻</h1>
    <hr />
    <p>我是广告1</p>
    <a href="RefererServlet">武汉加油!中国加油!</a>
    <p>我是广告2</p>
</body>
</html>

中国加油页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>武汉加油!中国加油!</title>
</head>
<body>
<center>
    <h1>武汉加油!中国加油!</h1>
    <hr />
    <img src="https://timgsa.baidu.com/timg?image&quality=80&size=b9999_10000&sec=1586511481911&di=ef37659dc6514450199730b2668aa0e5&imgtype=0&src=http%3A%2F%2F5b0988e595225.cdn.sohucs.com%2Fimages%2F20200226%2F0f8382216d03487bb5aaf787e8ef8e51.jpeg" />
    <p>武汉加油,中国加油!</p>
    <p>天佑中华,众志成城,共渡难关!<br />
        风雨过后一定有彩虹!武汉加油!中国加油!灾难我们一起面对,一起承受!<br />
        一定能打赢这场没有硝烟的战争!
    </p>
</center>
</body>
</html>

4.3 开始测试(启动web服务)

1.打开盗版网站www.361.com:8081/ShanZhai.html (注意端口号和大写)
在这里插入图片描述
2.访问武汉加油,发现跳转到正版新闻主页了,防盗链判断无法通行,拦截并跳转,发挥作用!
在这里插入图片描述
3.在主页访问武汉加油,防盗链判断可以通行
在这里插入图片描述

5.总结:

Referer是Http Header中的一个字段,它代表是的上一次的请求链接,我们在Servlet控制器中可以对其进行判断,使用startsWith()方法限制Referer必须由本项目(域名)才能直接访问所属页面,其他请求将被跳转到你指定的页面。
Referer为空代表:直接URL输入网址请求资源或者重定向请求资源等等(等读者自行发掘哦)
Referer防盗链只能防止基础的偷取页面链接,并不是万能的,通过java可以伪造HTTP请求,继而仍能成功盗链。

本文参考:
javaweb之request获取referer请求头实现防盗链
ServletRequest实现的防盗链问题
什么是Referer?Referer的作用?空Referer是怎么回事?
如果对小伙伴们有所帮助,欢迎点赞评论支持作者的创作热情~

此成非彼诚
关注
  • 11
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 修改 referer_看好你的门-客户端传数据(5)-用java修改referer
weixin_42504327的博客
02-16 488
首先需要声明,本文纯属1个毫无远见和真才实学的小小开发人员的愚昧见解,仅供用于web系统安全方面的参考。1、 简单说明Referer用来表明,阅读器向 WEB 服务器表明自己来自哪里。但是就它本身而言,并不是完全安全。写1个例子,可以任意修改http信息头中的referer2、 准备:用httpClient4.0来具体实现3、 Java修改http信息头referer的源代码代码非常简单,就...
Referer的理解及防盗链
weixin_64311421的博客
01-09 6251
Referer利用https网站盗链http资源网站,利用iframe伪造请求、利用XMLHTTPRequest请求是否能修改字段
springboot实现图片防盗链功能
北海_南风
04-22 435
出于安全考虑,我们需要后端返回的图片只允许在某个网站内展示,不想被爬虫拿到图片地址后被下载。或者,不想浏览器直接访问图片链接。出于性能考虑,不想要别人的网站,拿着我们的图片链接去展示,白白消耗自己的服务器资源。故而可在springboot中,使用简单的图片防盗链规则。拦截掉一些处理。
Java实现图片防盗链功能
最新发布
youyangrensheng的博客
05-07 214
出于安全考虑,我们需要后端返回的图片只允许在某个网站内展示,不想被爬虫拿到图片地址后被下载。漏报:攻击者可能找到绕过 referer 检查的方法(例如使用 data URI 或 base64 编码的图片)。反向代理:攻击者可以在url路径中,添加域名白名单作为反向代理路径,绕开代码的contains方法检查。出于性能考虑,不想要别人的网站,拿着我们的图片链接去展示,白白消耗自己的服务器资源。以上防盗链拦截器基本实现可以对付一般情况下的图片盗链,但并不能保证绝对安全。4.注册拦截器​​​​​​​。
javaweb之request获取referer请求头实现防盗链
热门推荐
我需要懂得努力
03-08 3万+
package test.request; import java.io.IOException; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.htt
java 修改 referer_Java实现跳过网站Referer校验
weixin_27374911的博客
02-16 805
为了防止盗链,网站的某些页面阻止了来自于非本站的链接进入,为了规避这个问题,可以通过如下方式实现:1、在需要跳转的js中使用如下语句:var arg = '\u003cscript\u003elocation.replace("'+searchUrl+'")\u003c/script\u003e';window.open('javascript:window.name;', arg);经测试,上述...
web开发】案例- referer头 --- 防止非法链接;获取参数数据(尝试)
AlanSmith233的博客
03-02 1203
1.案例- referer头 --- 防止非法链接;日常生活中,我们经常在各种网站上下载各种自己喜欢的电影、流行歌曲。我们在网站上下载东西时往往会经历以下一个流程: 下载资源 - &amp;amp;gt; 下载页面 -&amp;amp;gt; 打开广告页面(下载链接) -&amp;amp;gt; 开始下载 我们很可能为了以后下载方便会收藏下载链接,以后我们再想下载时可以直接通过收藏的下载链接避开在满是广告界面找下载链接的过程。但往往会发现直接...
2.http请求头中Referer的作用与伪造
wjiaman
10-22 1万+
文章目录一、Referer1.作用2.空Refer二、Referer的伪造1.伪造为ip地址2.伪造为URL 一、Referer Referer是HTTP请求header中的一部分,其表示请求当前资源的客户端来源,当浏览器(或模拟浏览器行为)向web服务器发送请求的时候,头部信息里会携带Referer。 例如:在 www.google.com 里有一个 www.baidu.com 超链接,当点击...
HTTP协议和Tomcat服务器
澄白易的博客
05-15 2699
目录 1.HTTP 是什么 2.HTTP 工作过程 2.1HTTP 协议格式 2.1.1抓包工具的使用 2.1.2抓包工具原理 2.1.3抓包结果分析 2.1.4协议格式总结 3.HTTP 请求 (Request) 3.1请求地址 URL 3.2 认识方法 3.3请求 "报头" (header) 3.4请求 "正文" (body) 4.HTTP 响应 4.1认识 "状态码" (status code) 4.2响应 "报头" (header) 4.3...
JavaWeb开发PPT详解
12-29
Java Web是用Java技术来解决相关web互联网领域的技术栈。web包括:web服务端和web客户端两部分。Java在客户端的应用有Java Applet,不过使用得很少,Java在服务器端的...在Java中,动态web资源开发技术统称为Java Web
文件防盗链的实现(射雕英雄java传系列)
03-17
NULL 博文链接:https://bluesky998.iteye.com/blog/567261
JavaWeb开发详解
07-22
资源名称:JavaWeb开发详解内容简介:《Java Web开发详解:XML XSLT Servlet JSP深入剖析与实例应用》共分4部分,从XML、Servlet、JSP和应用的角度向读者展示了Java Web开发中各种技术的应用,循序渐进地引导读者快速...
JAVAWEB开发详解
07-22
资源名称:JAVA WEB 开发详解资源截图: 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
Servlet开发JavaWeb工程示例详解
08-18
Servlet开发JavaWeb工程示例详解 Servlet是JavaWeb开发中的一种组件,它是一种小程序,运行在服务器上,主要负责处理客户端的请求。Servlet是JavaWeb的三大组件之一(Servlet、Filter、Listener),它属于动态资源...
java防盗链
开心的专栏
03-07 2770
一.防盗链的概念 内容不在自己的服务器上,通过技术手段将其他网站的内容(比如一些音乐、图片、软件的下载地址)放置在自己的网站中,通过这种方法盗取其他网站的空间和流量。 二.防盗链的产生 一般情况下,http请求时,一个完整的页面并不是一次全部传送到客户端的。如果请求的是一个带有许多图片和其它信息的页面,那么最先的一个Http请求被传送回来的是这个页面的文本,然后通过客户端的浏览器对这段文本的
Java 通过设置Referer反盗链
05-25 1597
以前写过通过URLConnection下载图片等网络资源的代码,不过发现象新浪等网站,都不允许直接连接,所以增强了代码,通过模拟仿造referer来实现下载。 下面是完整的代码。 复制代码 代码如下: package cn.searchphoto.util; import java.io.File; import java.io.FileOutputStream; imp
java referer伪造_通过判断请求Header中的Referer来防止伪造请求
weixin_35641153的博客
02-19 976
其实不会根本性的解决这个问题。解决方法:在web.xml中增加:refererFilterltd.miku.web.securityenhance.xss.RefererFilterrefererFilter/*REQUEST然后RefererFilter的内容是:import com.inspur.ssr.web.system.service.impl.ExpireSessionImpl;imp...
TongWeb及应用系统安全加固
web的博客
03-31 8832
前言 本文档主要面向运维人员说明常见的TongWeb5、TongWeb6、TongWeb7安全加固的配置方法。 TongWeb配置 一、首先建议TongWeb升级到最新版本,早期版本存在一些代码级安全漏洞,无法通过配置解决。截止2021年1月5日TongWeb最新版本号为7.0.4.2。 二、TongWeb禁用不安全的HTTP方法,可登录控制台,进入“http通道管理”进行设置。 TongWeb5禁用不安全的HTTP方法,需在应用的web.xml中增加如下内容,并重........
javaweb防盗链实现
10-23
JavaWeb中,防盗链是指通过一些技术手段,防止其他网站直接链接到本站的资源,从而保护本站的资源不被盗用。常见的防盗链技术包括:HTTP Referer检查、加密URL、动态生成图片等。其中,HTTP Referer检查是最常用的一种方法。具体实现方法可以通过在web.xml中配置Filter或者在JSP页面中嵌入Java代码实现。在JSP页面中嵌入Java代码实现防盗链的方法可以使用<exec:ref/>代替嵌套在JSP文件中的Java代码,从而简化页面布局,使繁琐的Java代码从JSP页面中消失。同时,也可以通过创建RefTag类并继承SimpleTagSupport类,覆盖父类的doTag()方法来实现防盗链。在doTag()方法中,需要获取request对象和response对象,然后通过request.getHeader("Referer")方法获取请求头中Referer字段中的内容,判断是否是合法的请求,如果不合法则重定向到合法主页并返回,不显示余下的内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值