java web 防盗链

最新推荐文章于 2024-05-07 10:38:47 发布
最新推荐文章于 2024-05-07 10:38:47 发布
阅读量676 收藏 5
点赞数 1
分类专栏: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/technologyleader/article/details/115689677
版权

使用场景:明明引用了一个正确的图片地址,但显示出来的却是一个红叉或写有“此图片仅限于***网站用户交流沟通使用”之类的“假图片”。用嗅探软件找到了多媒体资源的真实地址用下载软件仍然不能下载。下载一些资源时总是出错,如果确认地址没错的话,大多数情况都是遇上防盗链系统了。常见的防盗链系统,一般使用在图片、音视频、软件等相关的资源上。

实现原理:把当前请求的主机与服务器的主机进行比对,如果不一样则就是恶意链接,反之则是正常链接。

 

什么是Referer?

这里的 Referer 指的是HTTP头部的一个字段,也称为HTTP来源地址(HTTP Referer),用来表示从哪儿链接到目前的网页,采用的格式是URL。换句话说,借着 HTTP Referer 头部网页可以检查访客从哪里而来,这也常被用来对付伪造的跨网站请求。

什么是空Referer,什么时候会出现空Referer?

首先,我们对空Referer的定义为,Referer 头部的内容为空,或者,一个HTTP请求中根本不包含Referer头部。

那么什么时候HTTP请求会不包含Referer字段呢?根据Referer的定义,它的作用是指示一个请求是从哪里链接过来,那么当一个请求并不是由链接触发产生的,那么自然也就不需要指定这个请求的链接来源。

比如,直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含Referer字段的,因为这是一个“凭空产生”的HTTP请求,并不是从一个地方链接过去的。

在防盗链设置中,允许空Referer和不允许空Referer有什么区别?

在防盗链中,如果允许包含空的Referer,那么通过浏览器地址栏直接访问该资源URL是可以访问到的;

但如果不允许包含空的Referer,那么通过浏览器直接访问也是被禁止的。

 

使用Request对象设置页面的防盗链

      所谓的防盗链就是当你以一个非正常渠道去访问某一个Web资源的时候,服务器会将你的请求忽略并且将你的当前请求变为按正常渠道访问时的请求并返回到相应的页面,用户只有通过该页面中的相关操作去访问想要请求的最终资源。

        例如,你有一个访问某资源的网址,但是你事先不知道这个网址是有防盗链的,那么当你输入该网址时你可能会发现,并没有马上跳转到你想要的资源页面而是一些无关的信息页面,但是就是在这些信息页面中你发现有一个超链接或是其他操作可以跳转到你所访问的最终资源页面。
 

 这就是防盗链技术了,好了来看一个具体应用:

Request.java
 
 
package net.csdn.request;import java.io.IOException;
import java.io.PrintWriter;import java.util.Enumeration
import javax.servlet.RequestDispatcher;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class Request extends HttpServlet {
public void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {getDoorChain(request, response);}
 
    private void getDoorChain(HttpServletRequest request,
            HttpServletResponse response) throws IOException {
        String referer = request.getHeader("referer");
        if(referer==null || !referer.endsWith("http://localhost:8080/Request/index.jsp")){
            response.sendRedirect("http://localhost:8080/Request/index.jsp");
            return;
        }
        response.setCharacterEncoding("utf-8");
        response.setContentType("text/html;charset =utf-8");
        PrintWriter pw = response.getWriter();
        pw.write("喜剧片《东成西就》");
    }
public void doPost(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        doGet(request, response);
    }
 
}
 
 
index.jsp
 
<%@ page language="java" import="java.util.*" pageEncoding="utf-8"%>
<%
String path = request.getContextPath();
String basePath = request.getScheme()+"://"+request.getServerName()+":"
+request.getServerPort()+path+"/";
%>
 
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <base href="<%=basePath%>">
    
    <title>My JSP 'index.jsp' starting page</title>
	<meta http-equiv="pragma" content="no-cache">
	<meta http-equiv="cache-control" content="no-cache">
	<meta http-equiv="expires" content="0">    
	<meta http-equiv="keywords" content="keyword1,keyword2,keyword3">
	<meta http-equiv="description" content="This is my page">
	<!--
	<link rel="stylesheet" type="text/css" href="styles.css">
	-->
  </head>
  
  <body>
  这里是防盗链技术的应用检测! <br>
  <a href ="/Request/Request" >喜剧片 </a>
  
  </body>
</html>

效果如图:

例如我最终想要通过http://lcoalhost:8080/Request/Request这个网址获取到我想要的《东成西就》
的资源可是当我真正的输入这个网址时,却转到了:
http://localhost:8080/Request/index.jsp这个页面

只有当你点击“喜剧片”这个超链接时才会真正的得到你想要的资源页面即:

 

 

西飘客
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 盗链_javaWeb防止恶意登陆或防盗链的使用
weixin_33892912的博客
02-15 395
使用场景:明明引用了一个正确的图片地址,但显示出来的却是一个红叉或写有“此图片仅限于***网站用户交流沟通使用”之类的“假图片”。用嗅探软件找到了多媒体资源的真实地址用下载软件仍然不能下载。下载一些资源时总是出错,如果确认地址没错的话,大多数情况都是遇上防盗链系统了。常见的防盗链系统,一般使用在图片、音视频、软件等相关的资源上。实现原理:把当前请求的主机与服务器的主机进行比对,如果不一样则就是恶意...
java防盗链_javaWeb防止恶意登陆或防盗链的使用
weixin_32108979的博客
02-20 682
使用场景:明明引用了一个正确的图片地址,但显示出来的却是一个红叉或写有“此图片仅限于***网站用户交流沟通使用”之类的“假图片”。用嗅探软件找到了多媒体资源的真实地址用下载软件仍然不能下载。下载一些资源时总是出错,如果确认地址没错的话,大多数情况都是遇上防盗链系统了。常见的防盗链系统,一般使用在图片、音视频、软件等相关的资源上。实现原理:把当前请求的主机与服务器的主机进行比对,如果不一样则就是恶意...
Java实现图片防盗链功能
最新发布
youyangrensheng的博客
05-07 225
出于安全考虑,我们需要后端返回的图片只允许在某个网站内展示,不想被爬虫拿到图片地址后被下载。漏报:攻击者可能找到绕过 referer 检查的方法(例如使用 data URI 或 base64 编码的图片)。反向代理:攻击者可以在url路径中,添加域名白名单作为反向代理路径,绕开代码的contains方法检查。出于性能考虑,不想要别人的网站,拿着我们的图片链接去展示,白白消耗自己的服务器资源。以上防盗链拦截器基本实现可以对付一般情况下的图片盗链,但并不能保证绝对安全。4.注册拦截器​​​​​​​。
fastdfs 防盗链 java_FastDFS防盗链
weixin_28921115的博客
03-04 167
FastDFS扩展模块内置了通过token来实现防盗链的功能。开启防盗链后,访问文件是需要在url中加两个参数:token和ts。ts为时间戳,token为系统根据时间戳和密码生成的信物。为了系统的安全,下面一起来开启防盗链吧!1. 配置http访问1.1 开启防盗链检查vim /etc/fdfs/http.conf# HTTP default content typehttp.default_c...
java防盗链
我的博客
01-02 97
一.防盗链的概念 内容不在自...
java web中Filter防盗链学习笔记
CC的专栏
06-28 672
[备注] 知识点很简单主要是想尝试下markdown 目录 防盗链Filter 实验过程 现有页面 页面主要内容 页面关系 执行过程 分析过程防盗链Filter 网站A中有一资源,其地址为URL,要保证只有本网站的页面通过下载链接才能下载。其他网站链接该URL或是直接访问均不能获取该资源。 实验过程现有页面1. getHeader_referer
java防盗链_Java防盗链在报表中的应用实例
weixin_35315019的博客
02-20 184
今天我们来聊聊Java防盗链,多说无用,直接上应用案例。这里所用的工具是报表软件FineReport,搭配有决策系统(一个web前端展示系统,主要用于权限控制),可以采用java防盗链的方式来实现页面权限。浏览器中直接输入报表URL的时候,它的头文件是空的,因此,可以在访问的时候做两个判断:头文件是否为空以及以什么页面进行跳转,如果不符合跳到错误页面即可。什么是Referer?这里的 Refere...
java防盗链,JAVA防盗链图片的filter源代码
weixin_34870207的博客
03-16 79
非常有用的防盗链图片的filter,还凑合着可以用下web.xml:imageRedirectFilter/upload/images/*源代码:public class ImageRedirectFilter implements Filter {public void init(FilterConfig config) throws ServletException {}public void...
Java Web利用Referer头字段实现防盗链
Aa12364567的博客
05-09 658
package cn.itcast.chapter04.request; import java.io.IOException; import java.io.PrintWriter; import javax.servlet.RequestDispatcher; import javax.servlet.ServletException; import javax.servlet.annotation.WebServlet; import javax.servlet.http.HttpServlet;
java web笔记之Filter防盗链
wangxuewei111的专栏
03-21 1066
1.防盗链简介   防盗链Filter实现这样一种效果,如果其他网站引用本网站的图片资源,将会显示一个错误图片。只有本站内的网页引用时,图片才会正常显示。即在图片显示之前对request进行验证,看客户请求是否来自本网站内,代码如下。 package com.wang.indentity; import java.io.IOException; import javax.servlet.F
Java爬取web图片防盗链
09-20
HttpURLConnection+jsoup防盗链 {"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0", "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661...
java 防盗链详解及解决办法
08-29
java 防盗链详解及解决办法 Java 防盗链的概念 防盗链的概念是指在自己的服务器上,通过技术手段将其他网站的内容(比如一些音乐、图片、软件的下载地址)放置在自己的网站中,通过这种方法盗取其他网站的空间和...
java防盗链在报表中的应用实例(推荐)
09-01
Java防盗链技术在报表系统中的应用主要涉及到网络安全和权限控制,尤其是对于在线报表工具如FineReport而言,确保数据安全和防止非法访问至关重要。本文将详细介绍如何利用Java实现防盗链功能,并提供一个具体的应用...
Java防盗链在报表中的应用实例
06-16
所用的工具是报表软件FineReport,搭配有决策系统(一个web前端展示系统,主要用于权限控制),可以采用java防盗链的方式来实现页面权限。
Java爬虫小例子,爬取小网站,突破防盗链下载图片
02-02
在IT行业中,Java爬虫是一种常见的技术,用于自动抓取...通过学习和实践这个小例子,你可以了解到Java爬虫的基本流程,以及如何应对一些常见的爬虫挑战,如处理防盗链,这对于进行更复杂的Web数据挖掘项目非常有帮助。
Http响应Response详解
technologyleader的专栏
04-13 8615
1. HttpServletResponse概述: 在创建Servlet时会覆盖service()方法,或doGet()/doPost(),这些方法都有两个参数,一个为代表请求的request和代表响应response。service方法中的response的类型是ServletResponse,而doGet/doPost方法的response的类型是HttpServletResponse,HttpServletResponse是ServletResponse的子接口,功能和方法更加强大。...
http请求request详解
technologyleader的专栏
04-14 5281
HttpServletRequest对象代表客户端的请求,当客户端通过HTTP协议访问服务器时,HTTP请求头中的所有信息都封装在这个对象中,通过这个对象提供的方法,可以获得客户端请求的所有信息。 获得客户机信息   getRequestURL方法返回客户端发出请求时的完整URL。   getRequestURI方法返回请求行中的资源名部分。   getQueryString 方法返回请求行中的参数部分。   getPathInfo方法返回请求URL中的额外路径信息。额外路径信息是请求URL中的位于..
Idea 无法创建Servlet问题
technologyleader的专栏
08-17 2951
idea 无法创建servlet
java实现防盗链
05-19
防盗链是指在网站上设置一些限制条件,只有满足这些条件的请求才能访问资源。在Java中实现防盗链的方法如下: 1. 获取请求头信息,判断Referer字段是否合法,如果不合法则直接返回错误信息或者跳转到其他页面。 2. 在web.xml中配置过滤器,对请求进行过滤,只有通过过滤器的请求才能访问资源。过滤器可以使用Java EE提供的Filter接口或者Spring框架提供的HandlerInterceptor接口。 3. 在服务器端生成一个动态的URL地址,每次请求资源时,将动态URL地址作为参数传递,服务器端判断动态URL地址是否合法,如果合法则返回资源,否则返回错误信息。 示例代码: 1. 获取请求头信息的方法: ```java String referer = request.getHeader("Referer"); if (referer == null || !referer.startsWith("http://www.example.com")) { response.getWriter().write("Access denied"); return; } ``` 2. 配置过滤器的方法: 在web.xml中添加如下代码: ```xml <filter> <filter-name>anti-leech-filter</filter-name> <filter-class>com.example.AntiLeechFilter</filter-class> </filter> <filter-mapping> <filter-name>anti-leech-filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 创建AntiLeechFilter类,并实现Filter接口: ```java public class AntiLeechFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { // 初始化操作 } @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) servletRequest; String referer = request.getHeader("Referer"); if (referer == null || !referer.startsWith("http://www.example.com")) { HttpServletResponse response = (HttpServletResponse) servletResponse; response.sendRedirect("/access_denied.html"); return; } filterChain.doFilter(servletRequest, servletResponse); } @Override public void destroy() { // 销毁操作 } } ``` 3. 动态URL地址的实现方法: 在服务器端生成一个动态URL地址,如: ```java String url = "/download?file=" + URLEncoder.encode(filename, "UTF-8") + "&token=" + generateToken(); ``` 其中,generateToken()方法根据一定规则生成一个token值,每次请求时将token值作为参数传递,服务器端根据token值判断是否合法,如: ```java String token = request.getParameter("token"); if (isValidToken(token)) { // 返回资源 } else { response.getWriter().write("Access denied"); return; } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值