防盗链referer详解和解决办法

最新推荐文章于 2024-04-24 14:18:53 发布
最新推荐文章于 2024-04-24 14:18:53 发布
阅读量7k 收藏 6
点赞数 1
分类专栏: web 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44538773/article/details/104588458
版权

防盗链原理:

http标准协议中有专门的字段记录referer
1、他可以追溯到请求时从哪个网站链接过来的。
   //小例子
     这个头信息指示所指向的 Web 页的 URL。例如,如果您在网页 1,点击一个链接到网页 2,
    当浏览器请求网页 2 时,网页 1 的 URL 就会包含在 Referer 头信息中。
2、来对于资源文件,可以跟踪到包含显示他的网页地址是什么。

因此很多防盗链方法都是基于这个Referer字段

//而User-Agent 是判断爬虫和浏览器的一个原因
'User-Agent': 'Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)',
 'Referer': 'http://****'

一、事情经过

在一开始,我打算将其他网站的图片放在自己的网站(http://localhost…)上显示.

<img src="http://pic6.iqiyipic.com/image/20200215/f6/f9/a_100280816_m_601_m2.jpg"/>

结果却是返回403 Forbidden (即:没有权限访问此站),无法在自己的网站上加载出图片.

然后我以为是链接失效了,然后我复制该链接到浏览器上直接访问,发现可以正常加载图片,
还有在本地(file://…)打开也能正常显示图片.
然后我就纳闷了,为什么同一个html文件(都是加载同一条链接).
我使用(http协议)打开,就返回403,我本地打开(file协议)就可以返回正常图片,
我想src链接是一样的,那肯定是两种请求方式(http和file)的不同让他们的服务器识别了,
针对不同的请求返回不同的结果(其实是通过Referer字段识别的)

二、寻找原因
然后为了查看两种请求方式的不同,我就自己写了一个node服务器(其实直接在浏览器上查看请求头的也是可以的,不过我是找到原因以后才知道的)

var express = require('express');  //引入express模块
var app = express();  //创建express的实例
app.get('/app', function(req, res){
	console.log(req.headers);   //打印请求头
    res.send('Hello,myServer'); //服务器响应请求
});
app.listen(3000,function(){   //监听3000端口
    console.log("Server running at 3000 port");
});

写了一个客户端(html代码省略)

<script type="text/javascript">
 $(function () {  
			 $.ajax({
                url: "http://localhost:3000/app",   //请求业务数据
                type: "GET",
                success: function (result) {
				  console.log(result+'3000');
                }
            });
			
        });
</script>

(在本地直接打开会显示跨域,不要紧,因为请求(这里指简单请求,简单请求和复杂请求的区别)
已经发出去了,不管有没有跨域浏览器都会发送请求,然后浏览器通过接受到返回结果发现请求头没有
‘Access-Control-Allow-Origin’ ‘*’ 才显示跨域的,也就是说数据发过来了,浏览器就是不给你显示)
本地打开(file:///)显示结果
在这里插入图片描述
而借助nginx打开的(http://)

        url: "http://localhost/app",   //将url请求路径修改
       #nginx.config配置转发路径(这样就不会显示跨域了,还能将结果返回浏览器)
       location /app {
            proxy_pass http://192.168.0.103:3000;  #转发地址
		}

结果
在这里插入图片描述

从上面两幅图就可以看出,本地请求没有referer请求字段,而http请求却有
然后查阅得知:正是referer起到了防盗链的作用。防止其他网站加载他的的图片

三、解决方法

因为浏览器限制,不能手动添加和修改referer请求头
所以只利用nginx来转发请求,并重新设置referer字段

 location /* {
            proxy_set_header referer  '';  #设置为空,或者该请求路径允许的referer字段路径
            proxy_pass http://........;  #转发地址
		}

四、新增方法
js使用iframe跳过防盗链

<script type="text/javascript"> 
function showImg( url ) { 
var frameid = 'frameimg' + Math.random(); 
//使用window(全局对象)来声明,全局对象的属性也是全局变量
window.imgWindow = '<img id="imgId" src=\''+url+'?'+Math.random()+'\' /><script>window.onload = function() { parent.document.getElementById(\''+frameid+'\').height = document.getElementById(\'imgId\').height+\'px\'; }<'+'/script>'; 
document.write('<iframe id="'+frameid+'" src="javascript:parent.imgWindow;" frameBorder="0" scrolling="no" width="100%"></iframe>'); 
} 
</script> 
//调用
<script type="text/javascript">showImg('图片地址');</script>
时间与路人
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Referer防盗链
qq_46434519的博客
04-23 703
在以前常用防盗链来解决盗版网站盗取正版网站资源的现象。注:这是以前的手段 举个例子: 你可以腾讯视频网站主页中点击任何想看的电影来观看,因为腾讯有钱,能买得起正版的电影资源。 如果你想做一个电影门户网站,靠这个网站吸引流量,但你没钱,买不起正版资源,这时你就只有通过盗取别人的正版电影资源,别人看到了,一点发现还真可以观看,久而久之流量就赚取到了。 以下假设一个Servlet类,用来响应播放电影资源...
利用HTTP Referer字段防止盗链的原理
Andrew的博客
02-27 1144
曾经在某云计算公司工作的时候,经常有客户抱怨自己的网站流量很大,拒绝支付高额的流量费用。这个时候我们就会查询相关的日志排查原因,以及最重要的是查询客户是否做了Referer设置,如果没有做相关的设置,那么这个问题是属于客户自己配置不当的问题,应当自己承担责任。那么这个HTTP协议中的Referer字段到底有什么作用呢? HTTP Referer字段是HTTP协议中的一个标准字段,其作用在于浏览器...
referrer防盗链
最新发布
04-24 1136
referrer防盗链”是互联网技术中一种防止资源被盗用的防护机制,主要用于保护服务器上的文件或内容不被未经授权的网站引用。在HTTP协议中,referer(也写作referrer)是请求头的一部分,它会告诉服务器发起这次请求的网页URL。防盗链通过检查这个referer字段来判断请求是否合法:只有当请求的referer来源是我们允许的域名或者IP地址时,服务器才返回请求的资源,否则拒绝提供服务。
referer 防盗链
sheldon的专栏
10-25 9422
防盗链[referer] 防盗链要实现的是这样一种效果:比如说其他的网站引用本网站的图片资源,将会显示一个错误图片,只有是本网站内的网页引用时候,图片才可以正常显示。这种应该是比较常见的,例如经常逛论坛的人会看到别人贴的图显示出来是一个错误图片,如百度图片不可以外链等,用到的就是这个Filter。 首先说下Filter的工作区域是在客户端请求request抵达Servlet之前和服务器
防盗链原理 Referer
博客
03-23 2713
原理 防盗链的实现:服务器通过判断(request headers)请求头中的 referer 属性来实现的 破解 根据原理可知,要想破解防盗链需要在请求头(request headers)修改referer属性。 1.在服务器端对referer属性进行修改以满足访问条件 2.直接去除referer 属性 简单实现 在html页面的<header>属性中添加...
Referer与图片防盗链
热门推荐
webbc的博客
09-26 1万+
1、图片防盗链 在一些大型网站中,比如百度贴吧,该站点的图片采用了防盗链的规则,以至于使用下面代码会发生错误。 简单代码:<!DOCTYPE html> <html> <head> <meta charset="utf-8"> <meta http-equiv="X-UA-Compatible" content="IE=edge"> <title></title>
referer头与防盗链
深夜未眠的专栏
05-09 5767
一、图片防盗链原理 http标准协议中有专门的字段记录referer 一来可以追溯上一个入站地址是什么 二来对于资源文件,可以跟踪到包含显示他的网页地址是什么 因此所有防盗链方法都是基于这个Referer字段 如果是直接在浏览器上输入地址,回来进来,则没有referer头。 这也是:为什么服务器知道我们的图片是从哪儿引用的,也知道我们的客户从哪个网站链接点击过来的。
java 防盗链详解解决办法
08-29
java 防盗链详解解决办法 Java 防盗链的概念 防盗链的概念是指在自己的服务器上,通过技术手段将其他网站的内容(比如一些音乐、图片、软件的下载地址)放置在自己的网站中,通过这种方法盗取其他网站的空间和...
Referer原理与图片防盗链实现方法详解
10-16
主要介绍了Referer原理与图片防盗链实现方法,结合实例形式详细分析了Referer头信息原理与图片防盗链判定、实现方法,并附带一个Http请求封装类,需要的朋友可以参考下
【JavaWeb开发】Referer防盗链详解
01-20
1. 什么是Referer? Referer 是 HTTP 请求(requset) header 的一部分,当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里就有包含 Referer 。 比如我在www.csdn.net里点击一篇博客,那么点击这...
Nginx跨域访问场景配置和防盗链详解
09-29
在本文中,我们将深入探讨Nginx服务器在处理跨域访问和防盗链方面的配置。跨域访问控制和防盗链Web服务器管理中两个重要的安全措施,它们对于保护网站资源和确保正常用户体验至关重要。 首先,我们来理解一下为...
互联网视频防盗链的研究(referer,Token防盗链) - 简书.webarchive
07-17
关于IPv6很详尽的描述,介绍了各种基本知识,包括1Pv6 编址、ICMPv6 与邻居发现协议、1Pv6 路由、DHCPv6 等内容,并详细讨论了包括双枝、 隧道、转换在内的各种1Pv4 向1Pv6 迁移的过渡技术。
Referer的理解及防盗链
weixin_64311421的博客
01-09 6048
Referer利用https网站盗链http资源网站,利用iframe伪造请求、利用XMLHTTPRequest请求是否能修改字段
利用referer防止盗链下载
Jerry_Dui的专栏
04-03 1496
【这篇是在网上看到的关于referer的文章,还有些不明白,转过来大家待日后再好好研究一下】 一、首先了解下 referer 的原理  request.getHeader("referer")  在开发web程序的时候,有时我们需要得到用户是从什么页面连过来的,这就用到了referer。  它是http协议,所以任何能开发web程序的语言都可以实现,比如jsp中是:  request
利用Referer请求头防止“盗链”
bakelFF的博客
09-29 469
一、介绍 在实际开发中,经常会使用Referer头字段,例如,一些站点为了吸引人气并且提高站点访问量,提供了各种软件的下载页面,但是它们本身没有这些资源,只是将下载的超链接指向其它站点上的资源。而真正提供了下载资源的站点为了防止这种“盗链”,就需要检查请求来源,只接收本站链接发送的下载请求,阻止其它站点链接的下载请求。 二、获取头信息里的referer Referer请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用Referer请求头识...
http 之 referer 以及防盗链 策略研究
bawenmao的博客
12-01 1908
我们知道,http referer是一次http请求中的head请求中的一部分信息; 当浏览器从给服务端发送一次请求的时候,一般会带上Referer,告诉服务器 我是从哪个页面链接过来的,举一个时间的例子: 比如有一个网站或页面: http://www.example.com/a.html 该页面中有一个超链接: 点击 在服务器的server.php中我们
利用referer请求头防止“盗链”
桀骜℃
05-01 861
在开发过程中,有人经常会用referer头字段,有些网站为增加人气,提高网站访问量,提供各种各样的下载界面,但是他们本身没有资源,只是讲超链接指向特定站点资源。真正有资源的站点为了防止“盗链”,需要检查请求资源,如果是本站的下载请求,则允许正常下载,如果是其他站点,则跳转到其他特定网页。 import java.io.IOException; import java.io.PrintW
云知识 - refer防盗链
迟来大师的博客
12-07 233
referer防盗链是基于获取HTTP请求中的 referer header,根据 referer 跟踪来源。
获取referer中的请求参数_javaweb之request获取referer请求头实现防盗链
06-09
好的,您的问题是如何获取referer中的请求参数,以及如何通过request获取referer请求头实现防盗链。 首先,referer是HTTP请求头中的一个字段,用于表示当前请求是从哪个页面发起的。如果当前请求是从某个页面跳转过来的,则referer中会包含跳转页面的URL,如果没有则为null。 如果您想要获取referer中的请求参数,可以使用Java中的URL类来解析referer中的URL,然后通过其getQuery方法获取请求参数。以下是一个简单的示例代码: ```java String referer = request.getHeader("referer"); if (referer != null) { URL url = new URL(referer); String query = url.getQuery(); // 处理请求参数 } ``` 另外,您提到了防盗链的问题。防盗链是指通过某些手段,禁止其他网站直接链接到您的资源,以保护资源的安全和版权。其中一种常见的防盗链方式就是通过判断referer请求头来实现。 具体实现方式是在服务器端判断referer请求头中的URL是否属于当前网站的域名范围内,如果不属于则返回错误信息。 以下是一个简单的示例代码: ```java String referer = request.getHeader("referer"); if (referer != null && !referer.startsWith("http://www.yourdomain.com")) { // 不允许访问 response.setStatus(403); return; } // 允许访问 ``` 注意,这种方式虽然可以简单地防止盗链,但是referer请求头是可以伪造的,因此并不是绝对可靠的防盗链方式。需要根据具体情况进行综合考虑。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值