微信公众平台技术揭秘之Referer的妙用

最新推荐文章于 2024-04-30 10:55:07 发布
最新推荐文章于 2024-04-30 10:55:07 发布
阅读量1.5k 收藏
点赞数
分类专栏: 安全 HTTP 文章标签: http 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013952129/article/details/119052748
版权

最近在了解 Referer 的时候发现它可以用来做防盗链,于是我立刻联想到之前我们后台获取微信公众号图片和图文消息因为有防盗链图片显示不了的问题。那我是不是可以通过模拟一个 Referer 来欺骗微信,从而达到破解防盗链的目的呢?

说干就干,通过我用 postman 模拟请求发现这个思路确实可行,但是我们前端是用 img 标签然后浏览器渲染加载照片的,这个怎么模拟呢?遂百度,查到最简单的方式就是在html的head里添加Referer <meta name="referrer" content="never">,于是自己写了一个 demo 试了一下果然可行,但是这个方案之前就让前端试过,当时收到的反馈是不行,但我现在测试时可以的,也不知道当时时因为什么原因前端说不行的了,反正现在咱们知道原理了,就可以很好的利用 Referer 来解决微信公众号的防盗链问题了。

首先我们来解释一下 referer 做防盗链的原理吧,这里我将结合微信公众号后台为大家讲解。

首先登陆微信公众号后台,找到“素材库”,打开开发人员工具,我们看一下请求。

可以看到微信公众号后台在加载图片的时候是带有 Referer 的,那我们写一个测试网页,引入一张微信公众号的图片,然后 html 的 head 里添加 Referer 和不加 Referer 咱们对比一下。

 

head 里加了 Referer  图片能正常显示,那接下来我们看看不加 Referer 的情况

可以看到请求带了  referer 之后图片就加载不出来了

 除了防盗链的应用,微信公众平台还利用 referer 做了请求来源合法性校验,比如开放平台的
“登录授权的发起页域名”,公众号的“JS接口安全域名”和“网页授权域名”,小程序的“服务器域名”和微信支付的“支付安全目录”校验。

这里我们以开放平台为例子测试一下,可以看到当我们去掉了 referer 之后,微信公众平台校验登录授权的发起页域名就通不过了,如下图所示

虽然 referrer 可以被伪造,但是并不是所有的人都会,总的来说 referrer 还是可以作为一种比较初级的请求来源安全校验措施。

狂胜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
详解微信图片防盗链“此图片来自微信公众平台 未经允许不得引用”的解决方案
10-17
主要介绍了详解微信图片防盗链“此图片来自微信公众平台 未经允许不得引用”的解决方案,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
HTTP请求中的referrer和Referrer-Policy
Ryeol的博客
09-10 1278
为了能让微信二维码能在页面上展示,在html文件中加入,导致前往公众平台获取授权是报错 什么是referrer 当一个用户点击当前页面中的一个链接,然后跳转到目标页面时,目标页面会收到一个信息,即用户是从哪个源链接跳转过来的。如下图所示: 也就是说,当你发起一个http请求,请求头中的referrer字段就说明了你是从哪个页面发起该请求的。 no-referrer 不显示referrer的任何信息在请求头中。 no-referrer-when-downgrade 这是默认值。当从https网站跳转到ht
微信小程序referer 校验
changliangwl的专栏
01-11 1万+
小程序所有请求head reffer 格式固定,如何校验是否是小程序发出的请求,并过滤拦截??? https://mp.weixin.qq.com/debug/wxadoc/dev/api/api-network.html head reffer 格式如下 https://servicewechat.com/{appid}/{version}/page-frame.html 其中 {a
微信公众号菜单链接防盗链
tz_gx的专栏
11-23 4755
1:场景:微信公众号菜单链接为一个好友加油活动,微信分享到朋友圈,还有帮助加油,第一名可以获得iphone7手机一部(刚上市一周) 2:博主为防止有用户恶意刷数据,做了同一个ip地址限制100次给其他用户加油(后来发现ip是可以通过代理改变获取的外网ip),同一个用户只能给其他用户加油一次,用户必须是该微信公众号关注用户,助力请求做了动态参数加密来限制防止有人通过助力接口模拟助力刷助力积分,动态
小程序根据referer跳转不同的后台环境
chiheyi1036的博客
08-28 1134
一、问题: 开发小程序的时候有4个版本(开发、体验、审核、正式)。所以不同的环境要请求不同的后台。特别是审核版本,因为还要微信审核,如果请求错误,会被审核失败。因为生产环境是对应旧的后台版本,所以审核版本既不能调到后台生产环境,也不能跳到开发环境。 我们为了方便生产、审核2个版本小程序都去请求...
复制微信公众号图片不能用,防盗链问题
胡杰的专栏
07-05 807
作者理解这句话的意思是只对同源请求发送referrer,这就引发了一个思考默认这个策略的情况下百度统计等第三方软件是如何拿到referrer来做统计的?防盗链原理就是后端先拦截请求获取其中的referrer,将其和自身的白名单、本地域名等对比,符合条件的将通过,不符合的将会统一返回一个错误提示(可以是图片、文字等)。问题起因很简单,直接复制的公众号文章到网站,不单独处理图片,复制出来的文章图片因为微信防盗链设置不能显示出来,如下图。所以在都为HTTPS的情况下,即使跨域也会发送请求的referrer。
微信h5支付referer的问题
insist_life的博客
06-05 1535
本人在开发的时候,当时第一次碰到微信h5支付,根据后端返回的mweb_url直接使用lcoation.href进行跳转,(注意,此时是开发环境下,即localhost:8080下),然后微信支付后台验证之后,返回的了“商家存在未配置参数,请联系商家解决”;然后我也是第一次碰到这个情况,我以为是后端的参数没有配置,直接找后端沟通,然后后端让我在头里面加上referer这个参数,我想我前端用的是location.href跳转的,怎么在头里面加上referer这个参数呢?因为微信支付后台就会给出这样的返回。
微信小程序——网络请求之关于referer
热门推荐
wl1769127285的专栏
12-16 1万+
首先解释一下referer: HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。 在微信小程序中: 网络请求的 referer 是不可以设置的,格式固定为 https://servicewechat.com/{appid}/{version}/pa
微信文章图片破解防盗链
越陌度阡
12-03 1038
最近,公司的公众号管理系统出问题了,很多转载微信平台的文章的图片都无法显示了,经过检查,发现是以前的破解防盗链的地址失效了,后面经过一翻折腾,发现有一招挺管用的,就是把图片域名由原先的 mmbiz.qpic.cn 替换成 wximg.cccyun.cc 即可,以下是在React中修改后的代码。 下面把替换操作的代码展示一下,方便以后复制粘贴。 replace(/\/\/(.*?)\//,......
一次微信公众号分享功能总结
qq_42539939的博客
07-19 1541
总结下微信开发的坑的经历
微信小程序跳坑
03-29
一个微信小程序,同时只能有5个网络请求连接。 官网上描述 参数名 类型 必填 说明 url String 是 开发者服务器接口地址 data Object、String 否 请求的参数 header Object 否 设置请求的 header , header 中不能设置...
微信小程序的网络设置,及网络请求:wx.request(OBJECT)
03-29
微信小程序要实现网络请求,首先要对其进行设置,下面以”微信web开发者工具V1.01.170913”为例一:对于服务器网站没有备案,或只需要做本地测试的用户在“微信web开发者工具”的“设置”-“项目设置”-“项目设置”...
使用php伪造referer的方法 利用referer防止图片盗链
10-26
当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理,不过这个Referer是可以伪造,下面看一个示例,大家就明白了
微信小程序使用request网络请求操作实例
01-03
本文实例讲述了微信小程序使用request网络请求操作。分享给大家供大家参考,具体如下: 小程序提供了很多api,极大的方便了开发者,其中网络请求api是wx.request(object),这是小程序与开发者的服务器实现数据交互的...
HTTP Referer详解及Referer控制
10-18
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的
http 协议的状态码有哪些?含义是什么?
最新发布
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-30 2071
http 协议的状态码有哪些?含义是什么?
49. 【Android教程】HTTP 使用详解
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
04-29 1157
在你浏览互联网的时候,绝大多数的数据都是通过 HTTP 协议获取到的,也就是说如果你想要实现一个能上网的 App,那么就一定会和 HTTP 打上交道。当然 Android 发展到现在这么多年,已经有很多非常好用,功能非常完善的网络框架了,比如 Volley、OkHttp、retrofit等,但是底层逻辑都是一样的。本节我们来学习 Android 原声支持的 HTTP 接口,相比那些第三方框架,它的封装更好,也更适合我们了解底层原理。
海外IP代理中的HTTP/SOCKS5协议都有哪些区别?
qq_42992840的博客
04-28 609
是一种互联网传输协议,主要是用在客户端与外网服务器中间通讯的中间传递,Socks5代理就是简简单单地传送数据包,而无须关注是什么应用协议(比如FTP、HTTP和NNTP请求),因此 ,Socks5代理比其它应用层代理要快得多。随着互联网大数据的兴起,代理ip也成为了很多用户完成任务时不可缺少的部分,代理ip随着出现的主要作用是变换ip,突破ip限制等问题,使用过代理ip的用户都知道,代理ip分为很多种,长效,短效及不同协议的代理和透明,普匿,高匿等。所以,SOCKS5代理比HTTP代理速度要快得多。
http的basic 认证方式
wang0907的博客
04-28 888
basic auth是一种http协议规范中的一种认证方式,即一种证明你就是你的方式。更进一步的它是一种规范,这种规范是这样子,如果是服务端使用了basic auth认证方式来处理用户请求的话,会从header中获取的头信息,如果是没有该头信息或者是头信息不正确,则会返回401状态码,并添加响应头。如果是浏览器收到了服务端的401响应,并且判断有www-authenticate头信息的话则会弹出自带的用户名密码录入框让用户录入信息,用户录入后浏览器会对录入的信息按照格式。
python requests抓取微信公众平台图片链接
10-25
使用Python的requests库可以抓取微信公众平台的图片链接。具体步骤如下: 1. 首先需要获取微信公众平台的文章链接,可以使用搜狗微信搜索获取指定公众号的最新一条推送,并保存相应的网页至本地。 2. 使用requests库获取文章链接对应的网页内容。 3. 使用正则表达式或者BeautifulSoup库解析网页内容,获取图片链接。 4. 可以使用requests库下载图片并保存到本地。 注意:微信公众平台的图片链接可能会有防盗链的设置,需要在请求头中添加Referer字段,指定请求来源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值