解决图片被盗链接的问题?

最新推荐文章于 2024-11-13 01:18:00 发布
最新推荐文章于 2024-11-13 01:18:00 发布
阅读量616 收藏
点赞数
分类专栏: ASP.NET 文章标签: string 加密 path image javascript 解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ulark/article/details/5443803
版权

.所有的image url都跟上密文.比如你在绑定页面image url时可以这么做.以下是MVC示例.其他的差不多.


string path="/Content/";
 string imgName = "girl.jpg";            
                  
 long ticks=DateTime.Now.Ticks;
 
 //使用当前时间刻度作为待加密对象
 string encryptKey = ticks.ToString();

 //使用自定义对称算法加密
 byte[] data = SymmetricEncryptionUtility
                 .EncryptData
                 (
                    encryptKey,
                    ShareData.SymmetricKeyFile
                 );
        
 //使加密后的数据转换成base64码
 string encryptedImgName = Convert.ToBase64String(data);

 string encryptedEncoding = HttpUtility.UrlEncode
                (
                   encryptedImgName
                );

 //将加密后的密文存放在共享数据中
 ShareData.KeyCollections.Add(encryptedImgName);

 ViewData["imgUrl"] = string.Format
      ("{0}{1}?key={2}", path, imgName, encryptedEncoding);
2.自定义Handler.专用于处理图片请求.此handler做这么几件事, 

  
  

   
   
1.获得图片请求的key,即上段代码中的encryptedEncoding.没有图片key,那就哪里来送回哪里去.(友好点.给个性感图片送过去..) 

   
   
2.应该所有key都经过对称算法加密,so..解密先.. 

   
   
3.判断请求是否来自本站.是本站流程进4. 否则进5 

   
   
4.本站请求再做进一步筛选.查看ShareData中是否有包含此key.(ShareData是自定义的.),存在图片的key那么清除ShareData中此key然后正确返回请求图片.不存在那么同步骤1一样送回去..(做ShareData判断是防止javascript 篡改request head信息) 

   
   
5.不是来自本站的请求.可以提供自己的策略..我这里做的是30天链接过期.(因为第一段代码中用时间刻度做加密..所以这里解密了很好判断) 

  
  

  
  

   
   

public void ProcessRequest(HttpContext context)
{
HttpResponse response = context.Response;
HttpRequest request = context.Request;
string imgKey = request.QueryString["key"];

byte[] data = Convert.FromBase64String(imgKey);
string decryptedKey = SymmetricEncryptionUtility
    .DecryptData
    (
    data, 
    ShareData.SymmetricKeyFile
    );

//如果没有图片密钥就返回
if (imgKey == null) return;
string imagePath = null;

//检查请求是否来自外站
if (request.UrlReferrer != null)
{
    if (String.Compare(
        request.Url.Host,
        request.UrlReferrer.Host,
        true,
        CultureInfo.InvariantCulture) == 0)
    {
        if (!ShareData.KeyCollections.Contains(imgKey)) 
            return;
        
        imagePath = request.PhysicalPath;
        if (!File.Exists(imagePath))
        {
            response.StatusCode = 404;
            return;
        }
    }
}
else//不是本站.检查明文时间轴
{
    long ticks;

    if (long.TryParse(decryptedKey, out ticks))
    {
        
        TimeSpan ts = new TimeSpan
            (
            DateTime.Now.Ticks - ticks
            );
        //如果大于一个月
        if (ts.TotalDays > 30)
        {
            //输出链接过期
            return;
        }
    }
}
//移除共享数据中key
ShareData.KeyCollections.Remove(decryptedKey);
response.ContentType = "image/" 
    + Path.GetExtension(imagePath).ToLower();
response.WriteFile(imagePath);
}
因为是自定义Handler注意在config中注册handler节点..至于配置节不知道什么意思..自己查查.

    
    

     
     
以上的解决方案只代表个人,并不代表官方..哈哈..当然对ShareData并没有做并发等处理..只是简单的实现..还望提供更多的思路.当然可以通过配置iis 禁止外站请求图片.不过这种限制太过强硬了..腾讯qzone里的图片好像就不能在外站引用
源码奉上.随附测试玉照一份
http://files.cnblogs.com/martinR/MvcApp.rar


     
     
<httpHandlers> <add verb="*" path="*.gif" type=


     
     
"MvcApp.Handler.ImageHandler"/> 


     
     
<add verb="GET" path="*.jpg" type="MvcApp.Handler.ImageHandler"/>


     
     
</httpHandlers>


    
    




  
  


 

 

ulark
关注
专栏目录
记一次处理短信盗刷问题解决方案
sinat_23324343的博客
07-06 3829
前言 一、图形验证码增加识别难度 1.1自定义图形验证码 1.2使用kaptcha验证码组件 二、针对ip进行访问次数限制 2.1获取真实的IP地址 2.2设置访问限制 前言 最近公司的注册接口经常在半夜被恶意访问,从而引发短信盗刷事件,原本在手机号等参数校验通过后,注册接口会对图形验证码进行正确性校验,校验通过后再进行短信发送。通过短信发送记录发现我们的图形验...
day82_淘淘商城项目_15_项目总结 + 项目中的问题_匠心笔记
黑泽君
01-12 2086
淘淘商城项目_15_项目总结 + 项目中的问题
怎么防止网站图片被盗链?
weixin_33918114的博客
03-07 590
要防止网站图片被盗链,那么就有必要了解?链的手段,基本上可以分为两种: 第一种:盗链者直接使用图片链接引用网站上的图片。防止这种盗链情况的发生有两种可行的方法:通过Apache服务器进行控制和使用SESSION变量在程序中进行控制。 第二种:直接从网站上下载图片并且复制使用。 防止图像盗链的方法主要有两种解决方案,一种使用Apache的mod_rewrite.so扩展,另一种使用PHP的...
图片防盗链接的添加
hiwymm的博客
04-28 497
参考地址:http://www.cnblogs.com/myhomepages/p/6017867.html
url防盗链,防止图片,文件等被盗.
qingwei201314
03-30 589
1.引入urlrewritefilter包: &lt;dependency&gt;&lt;groupid&gt;org.tuckey&lt;/groupid&gt;&lt;artifactid&gt;urlrewritefilter&lt;/artifactid&gt;&lt;version&gt;3.2.0&lt;/version&gt;&lt;/dependency&gt;
nginx如何防止图片盗链
loongwong2011的博客
09-30 1290
http://blog.sina.com.cn/s/blog_5f54f0be0100yqmi.html 为了防止他人盗用我们的宽带而影响到我们的服务器,我们必须防止图片的盗链行为。下面我们就在nginx服务器上如何防图片盗链探讨。 下面的防盗链代码是,当有人盗链时,直接返回403状态。 location ~* (\.jpg|\.png|\.gif|\.jpe
软件测试规范
张元礼-门道科技创始人|16年IT从业经验(抖音号:mtesting)
12-11 2386
第一部分应用程序测试 第一章界面测试 界面是软件与用户交互的最直接的层,界面的好坏决定用户对软件的第一印象。而且设计良好的界面能够引导用户自己完成相应的操作,起到向导的作用。同时界面如同人的面孔,具有吸引用户的直接优势。设计合理的界面能给用户带来轻松愉悦的感受和成功的感觉,相反由于界面设计的失败,让用户有挫败感,再实用强大的功能都可能在用户的畏惧与放弃中付诸东流。 1.1易用性测试...
2022Java经典面试题总结(附问题和答案)
AlanChen的博客
05-20 3999
 Java基础  面向对象 封装:封装的意义,在于明确标识出允许外部使用的所有成员函数和数据项,内部细节对外部调用透明,外部调用无需修改或者关心内部实现 继承:继承基类的方法,并做出自己的改变和/或扩展,子类共性的方法或者属性直接使用父类的,而不需要自己再定义,只需扩展自己个性化的 多态:基于对象所属类的不同,外部对同一个方法的调用,实际执行的逻辑不同  JDK、JRE、JVM之间的区别 JDK:Java Develpment Kit java 开发工具 JRE:Java Runt
停止使用 JSON Web代币进行身份验证?
chinadefi的博客
04-12 197
停止使用 JSON Web代币进行身份验证? “由于可扩展性,JWTokens是被推荐的认证方法。” “JWTokens更易于使用。” “JWToken是无状态的,所以我们不需要使用服务器上的内存。” 我确信他们的意图是好的,但是他们共享了一种不安全的用户身份认证和授权用户的方式,至少对于web应用程序是这样的。 免责声明:我并不主张我们应该完全停止使用JWT或类似机制。然而,我看到许多教程为了简单起见,以糟糕的方式实现了它们。 我们当然可以安全地使用JWT代币,但是,我们可能不应该从头实现它们,因
HTTP Referer相关
neil
06-08 222
什么是HTTP Referer 简言之,HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站。 Referer其实应该是英文单词...
php如何防止图片盗用/盗链的两种方法
weixin_34260991的博客
10-31 441
如今的互联网,采集网站非常多,很多网站都喜欢盗链/盗用别人网站的图片,这样不仅侵犯网权,还导致被盗链的网站消耗大量的流量,给服务器造成比较大的压力,本文章向大家介绍php如何防止图片盗用/盗链的两种方法,需要的朋友可以参考一下。 图片防盗链有什么用?防止其它网站盗用你的图片,浪费你宝贵的流量。本文章向大家介绍php防止图片盗用/盗链的两种方法 Apache图片重定向方法 设置image...
完美的图片防盗链设置详解
行走天下
11-09 2493
在我们的服务器对抗压力的时候,我们一般控制的图片被别人的网址预览的我们的图片(盗链),消耗我们的服务器的资源。 一. 防盗链原理 http 协议中,如果从一个网页跳到另一个网页,http 头字段里面会带个 Referer。图片服务器通过检测 Referer 是否来自规定域名,来进行防盗链。 二、设置突破防盗链方法 apache环境下 方法1.使用apache文件FileMatch...
使用微信的图片直接外链显示未经允许不能引用处理方案
我们一起学前端
06-02 1858
第一: 在index.html的head标签中加入下面的meta <meta name="referrer" content="never"> 第二:将img标签的data-src改为src 微信的img标签是这样的 <img data-ratio="0.0671875" data-src="https://mmbiz.qpic.cn/mmbiz_gif/p43HmpBINH7wBPBuEzKEBxOfOxj1IWG64FMWjbWYfUb5Qr3lXnW5gf692t4IbxKxJ2v
如何防止他人窃取您的网络图像(热链接
一名可爱的技术搬运工
05-20 462
我网站的图像被其他网站直接链接(热链接),这是小偷的行为,占用了我的带宽,为什么不将它们复制到自己的服务器上并显示出来? 我决定采取措施阻止这种情况再次发生,可以通过“ .htaccess ”访问控制来阻止所谓的“热链接”。 案例分析 1.热链接我的图像 该网站直接链接到我的网站图片 2.设计自定义图片 用油漆创建一个自定义图像,将其另存为“ nohotlink.j...
利用图片链接跳转网页的方法
天才也是人
06-07 7424
看到<span class="t_tag" onclick="function onclick(){tagshow(event)}">百度贴吧图片点击后跳转到某个<span class="t_tag" onclick="function onclick(){tagshow(event)}">网页,甚是好奇,于是研究.得出制作方法一.ASP版的.百度贴吧的图片点击后即可跳转到
staem被盗_如何检查照片是否被盗
cum43546的博客
09-30 484
staem被盗Photos and other images get stolen all the time online. Someone takes a photo from the photographer’s website or social media channels and uses it for their own needs. This is completely illega...
跟着尚硅谷学vue2—进阶版2.0—使用 Vue 脚手架1.0
最新发布
zhzijun的博客
11-13 425
分析脚手架 、ref和props、mixin混入、插件、scoped样式、总结TodoList案例、浏览器本地存储-webStorage、TodoList_本地存储
Vue中的常用指令
m0_62388400的博客
11-12 1187
指令(Directives)是 Vue 提供的带有的 特殊 标签。为啥要学:提高程序员操作 DOM 的效率。vue 中的指令按照不同的用途可以分为如下 6 大类:内容渲染指令(v-html、v-text)条件渲染指令(v-show、v-if、v-else、v-else-if)事件绑定指令(v-on)属性绑定指令 (v-bind)双向绑定指令(v-model)列表渲染指令(v-for)指令是 vue 开发中最基础、最常用、最简单的知识点。
怎么解决csp问题
09-11
CSP (Cross-Site Scripting) 或者常说的XSS攻击是一种常见的网络安全威胁,它通过注入恶意脚本到网站上,影响用户浏览器的行为。以下是几种常见的防范和解决CSP问题的方法: 1. **启用 Content Security Policy (CSP)**:这是一种HTTP头部策略,告诉浏览器只允许从特定源加载资源。设置CSP头可以防止恶意脚本注入,例如`Content-Security-Policy` header可以声明哪些资源类型、域名是可以信任的。 ```bash Content-Security-Policy: default-src 'self'; script-src 'nonce-<random-hash>'; img-src https://example.com; // 设置来源限制 ``` 2. **使用 nonce(安全哈希值)**:对于动态内容,可以在运行时生成随机哈希值并附在脚本标签src属性上,这有助于确保只有经过验证的脚本才被加载。 3. **输入验证和过滤**:对用户输入进行严格的检查和清理,移除HTML特殊字符和脚本代码。 4. **使用HTTP-only cookie**:这使得JavaScript无法访问来自服务器的cookies,降低了被盗cookie被利用的风险。 5. **升级到最新版本**:定期更新框架和库,因为新版本通常会修复已知的安全漏洞。 6. **使用沙箱(Sandboxing)**:对于内嵌的第三方代码,如IFrame,可以考虑使用沙箱特性来限制其权限。 7. **教育和培训**:提高开发团队对CSP的理解和实施能力,以及员工对于网络钓鱼和欺诈的认知。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值