HTTP之防盗链

最新推荐文章于 2024-06-05 17:25:43 发布
最新推荐文章于 2024-06-05 17:25:43 发布
阅读量1.9w 收藏 7
点赞数 1
分类专栏: javascript知识 nodejs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33768153/article/details/81323934
版权

很多时候别人直接把我们的网站的资源拿去在他们网站展示,但是消费的是我们的流量,为了解决这种问题,才会有防盗链这个思路

这里说的只是一个简单的概念,既使用host和reffer请求头做对比,简单的做一个处理,主要是用来熟悉http头

这里就是代码

// 防盗链实现
//  这里主要是通过reffer和host做对比,如果不是当前域,则给一张无用的图片
// 实现读取
let fs = require('fs')
let path = require('path')
let url = require('url')

/**
 * @description 解析host
 * @param {string} referStr 需要解析的refer字符串
 */
let getHostName = referStr => {
    let { hostname } = url.parse(referStr)
    return hostname
}
const server = require('http').createServer((req, res) => {
    // 拿到refer
    let refer = req.headers['referer'] || req.headers['referrer']

    // 判断是否又refer,有可能没有refer
    // 读取文件,返回给浏览器
    let { pathname } = url.parse(req.url)
    // p代表我们要找的文件
    let p = path.join(__dirname, 'public', '.' + pathname) // 这里是请求文件

    // 判断请求的文件有没有,没有的话直接结束,有的话在读取文件
    fs.stat(p, err => {
        if (!err) {
            if (refer) {
                // 先看一下refer的值,还要看图片的请求路径
                let referHostName = getHostName(refer)
                let host = req.headers['host'].split(':')[0]

                if (referHostName != host) {
                    // 防盗链
                    fs.createReadStream(path.join(__dirname, 'public', './timg.jpeg')).pipe(res)
                } else {
                    // 正常展示
                    fs.createReadStream(p).pipe(res)
                }
            } else {
                // 正常展示
                fs.createReadStream(p).pipe(res)
            }
        } else {
            res.end()
        }
    })
}).listen(5000)

// 当服务器错误时调用
server.on('error', err => {
    if (err.code == 'EADDRINUSE') server.listen(++port)
    if (err) console.log(err)
})

// 当服务器关闭时调用
server.on('close', () => {
    console.log('服务端关闭')
})

白名单

很多时候我们做了限制以后,有需要给某些网站给引用的权限,就是白名单

// 添加白名单,可以允许某个站点访问当前站点
// 防盗链实现
//  这里主要是通过reffer和host做对比,如果不是当前域,则给一张无用的图片
// 实现读取
let fs = require('fs')
let path = require('path')
let url = require('url')

/**
 * @description 解析host
 * @param {string} referStr 需要解析的refer字符串
 */
let getHostName = referStr => {
    let { hostname } = url.parse(referStr)
    return hostname
}

// 白名单
let whiteList = ['www.demo.com']
const server = require('http').createServer((req, res) => {
    // 1拿到refer
    let refer = req.headers['referer'] || req.headers['referrer']

    // 判断是否又refer,有可能没有refer
    let { pathname } = url.parse(req.url)
    // p代表我们要找的文件
    let p = path.join(__dirname, 'public', '.' + pathname) // 这里是请求文件

    // 判断请求的文件有没有,没有的话直接结束,有的话在读取文件
    // 读取文件,返回给浏览器
    fs.stat(p, err => {
        if (!err) {
            if (refer) {
                // 先看一下refer的值,还要看图片的请求路径
                let referHostName = getHostName(refer)
                let host = req.headers['host'].split(':')[0]
                // 这里判断, referHostName != host
                // 白名单 加入判断 !whiteList.includes(referHostName)
                if (referHostName != host && !whiteList.includes(referHostName)) {
                    // 防盗链
                    fs.createReadStream(path.join(__dirname, 'public', './timg.jpeg')).pipe(res)
                } else {
                    // 正常展示
                    fs.createReadStream(p).pipe(res)
                }
            } else {
                // 正常展示
                fs.createReadStream(p).pipe(res)
            }
        } else {
            res.end()
        }
    })
}).listen(5000)
// 当服务器错误时调用
server.on('error', err => {
    if (err.code == 'EADDRINUSE') server.listen(++port)
    if (err) console.log(err)
})

// 当服务器关闭时调用
server.on('close', () => {
    console.log('服务端关闭')
})

最后的目录结构

// demo/public/index.html
<!DOCTYPE html>
<html>
<head>
  <meta charset="utf-8" />
  <meta http-equiv="X-UA-Compatible" content="IE=edge">
  <title>防盗链</title>
  <meta name="viewport" content="width=device-width, initial-scale=1">
  <link rel="stylesheet" type="text/css" media="screen" href="main.css" />
  <script src="main.js"></script>
</head>
<body>
  <!-- 服务端不支持 ./ ../ 如果写了,相当于 ./ || ../  => / -->
  <img src="http://www.test.com:5000/xiaoxin.jpg" alt="test">
</body>
</html>

// 图片,如我的两张图片
// demo/public/xiaoxin.jpg
// timg.jpg //这个为用户调用我们的链接时候返回的图片

// server 脚本
// demo/server.js 内容就是上边的代码

// 测试 因为需要多个URL地址,所以需要自己去host设置一下,才能实现,如我的设置
// 127.0.0.1 www.demo.com 
// 127.0.0.1 www.test.com

//做完上述设置,就可以在浏览器进行测试了
Corner1990
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
asp下载防盗链代码
01-02
asp下载防盗链代码第一种:  终于对下载系统做了个防盗链措施,在下载的页面头部做了如下代码,相关代码如下:   代码如下:<%   From_url = Cstr(Request.ServerVariables(“HTTP_REFERER”))   Serv_url = Cstr(Request.ServerVariables(“SERVER_NAME”))   if mid(From_url,8,len(Serv_url)) <> Serv_url and mid(From_url,8,len(Serv_url))<>”ITstudy.cn” and mid(From_url,8,len(
网站防盗链是什么
HoewDec的博客
12-04 508
2.使用HTTP头信息:通过设置HTTP头信息中的"Cache-Control"和"Referrer-Policy",可以控制浏览器和其他服务器对网站资源的缓存和盗链行为。4.监测和告警:通过安装安全监控工具或使用德迅CDN的安全防护功能,对response报文进行处理,对响应内容和响应进行识别和过滤,根据需要设置数据防泄漏规则,保护网站数据安全。网站防盗链是指未经授权的网站通过技术手段获取并使用其他网站的资源,最常见的是通过抓取或爬取其他网站的页面内容,然后直接显示在自己的网站上。一、什么是网站防盗链?
Nginx的https功能和防盗
weixin_56770318的博客
06-05 864
nginx 的https 功能基于模块ngx_http_ssl_module实现,因此如果是编译安装的nginx要使用参数ngx_http_ssl_module开启ssl功能,但是作为nginx的核心功能,yum安装的nginx默认就是开启的,编译安装的nginx需要指定编译参数--with-http_ssl_module开启。总的来说,Nginx通过其灵活的配置和强大的性能,在实现HTTPS功能时提供了丰富的选项和功能。在Nginx中,HTTPS是通过SSL/TLS协议来实现加密和安全通信的功能。
http协议以及防盗链技术
dianzhilian6452的博客
04-10 308
  http协议,又称为超文本传输协议,顾名思义,http协议不仅能传输文本,还能传输图片,视频,压缩包等文件,http协议是建立在tcp/ip协议的基础之上的,http协议对php程序员来讲可以说是重中之重了;   http请求基本结构分为:请求行;消息头;实体内容;   请求行:     GET/xxx/xxx.html HTTP/1.1 //HTTP/1....
HTTP防盗链(Referer)
嗯哼的博客
03-23 6892
HTTP请求防盗链:只允许某些域名请求来源才可以访问。比如A网站有一张图片或音频等资源被B网站直接通过img等标签属性引入使用,这样就是B网站盗用了A网站的资源。那么对于A网站来说,流量怎么被消耗的都不知道。 解决思路: 判断http请求头Referer域中的请求来源的值,如果和当前访问的域名(或者被允许的一些域名)不一致的情况下,说明该图片可能被其他服务器盗用。 注意:上句话中括弧中:被允许的一些域名,这个是基于黑白名单而言的,拦截请求,判断请求头的Referer是否包含黑名单的域名,包含则拦.
盗链之八种防止方法
✍千里之行,始于足下 ^,^
11-20 597
八种网站防止盗链的方法方法2:使用登录验证方法3:使用cookie方法4:使用POST下载方法5:使用图形验证码方法6:使用动态文件名方法7:擅改资源的内容方法8:打包下载 作为普通的网民来说,一般不需要知道也不用关心什么是盗链,不过如果你是网站的开发者或维护者,就不得不重视盗链的问题了。如果你刚刚开发完一个没有防盗链的带有文件下载功能的网站,挂上internet,然后上传几个时下非常热门的软件...
绕过防盗链的几种方式
qq_68163788的博客
11-10 2359
盗链是指在网站上显示其他网站上的图片、视频或其他媒体内容,而不经过原网站所有者的授权或许可。盗链会消耗原网站的带宽和资源,同时也会侵犯原网站所有者的版权和使用权利。 盗链行为通常被视为不道德和违法的,因为它侵犯了原网站所有者的权利,同时也给原网站带来不必要的成本和资源消耗。为了防止盗链,许多网站会设置防盗链功能,当检测到盗链时,会拒绝显示内容或者显示特定的替代内容。 因此,作为网络使用者,我们应该尊重其他网站所有者的权利,遵守网络使用规则,不进行盗链行为。如果我们需要在自己的网站上使用其他网站的内容
防盗链是什么?带你了解什么是防盗
WowCool
02-27 2987
防盗链其实就是采用服务器端编程,通过url过滤技术实现的防止盗链的软件。比如:photo.abc.com/video.mp4 这个下载地址,如果没有装防盗链,别人就能轻而易举的在他的网站上引用这个地址。如果对photo.abc.com 这个站的服务器端编程,比如通过:photo.abc.com/video.mp4?authcode=xxxxxxxxxxxxxxxx& ip=127.0.0.1 绑定了ip,只能通过127.0.0.1来访问这个链接,而无法通过其他IP访问。
Nginx学习笔记11——防盗链与http的referer
ZZYSY的博客
06-23 3189
http协议中的referer,用来表示来源,当请求html页面时没有referer,但是因为html中引入了css、js、img等静态资源,这些静态资源都需要一个来源,所以referer就表示了这个来源。 盗链就是当referer是其他站点通过代理、html中的引用都一些方法访问到我们这个站点的静态资源来生成的,域名不是我们自己的域名。我们可以利用referer来防止盗链,通过判断取到的referer是不是我们自己想要的域名,如果是就继续访问,否则进行拦截。目前四个虚拟机,CentOS7-1是Nginx
php下通过伪造http头破解防盗链的代码
12-18
伪造referer实例代码,主要用于一些突破防盗链,比如图片,软件等等 这里就直接给出完整的程序吧,具体的应用可以自己修改。 我这里给出的例子是很简单的,其实可以从这个例子中发展出很多的应用。比如隐藏真实的URL...
PHP防盗链代码实例
12-18
防盗链是目前非常常见的web程序设计技巧。本文就以一个实例展示了PHP防盗链的实现方法。分享给大家供大家参考之用。具体方法如下: 主要功能代码如下: <?php /* 使用方法:将上述代码保存为dao4.php, 比如测试用...
jsp实现防盗链的方法
10-23
总之,通过JSP实现防盗链主要依赖于检查HTTP请求的"Referer"头部信息,但这并非万无一失。为了增强安全性,开发者应综合运用多种策略,并时刻关注最新的安全实践和技术发展,以确保网站资源的安全。
WordPress 防盗链设置方法分享
09-29
jpg|jpeg|png|bmp|zip|rar|7z|swf|mp3)$ http://www.example.com/fangdaolian.png [NC,L]`:这条规则禁止所有其他非允许站点对指定类型的文件(如图片、压缩包和音频)的请求,并将它们重定向到一个预设的防盗链提示...
谈谈网站防盗
帅性而为1号的博客
09-06 5268
引子:明明引用了一个正确的图片地址,但显示出来的却是一个红叉或写有“此图片仅限于***网站用户交流沟通使用”之类的“假图片”(下图便是网易博客的防盗链效果)。用嗅探软件找到了多媒体资源的真实地址用下载软件仍然不能下载。下载一些资源时总是出错,如果确认地址没错的话,大多数情况都是遇上防盗链系统了。常见的防盗链系统,一般使用在图片、音视频、软件等相关的资源上。 一、什么是防盗链系统
网络中的防盗链是指什么?
weixin_43869318的博客
08-13 2079
什么是盗链? 比如,别人上传的东西,你直接拿了LINK去,贴到别的论坛或者网站,宣称"有好东西,快来下载",又或者告诉你的朋友"你要这个文件?俺有连接,快下",然后在那里接受别人的滔滔不绝的景仰之情。 “盗链” 的定义是: 此内容不在自己服务器上,而通过技术手段,绕过别人放广告的最终页,直接在自己的有广告有利益的页面上向最终用户提供此内容。 常常是一些名不见经传的小网站来盗取一些有实力的大网站的地...
HTTP协议之防盗链与反防盗
热门推荐
XiaoDong的博客
11-16 3万+
仅供HTTP协议的初学者了解。 使用HTTP协议。利用referer做防盗链(不需要用php编写,而是在服务器层面控制就OK了) 我们在网页里访问站外的图片的时候,在图片本站是可以看得,在外头就不能看了 因为header信息中的referer元素。 还有是做统计的时候, 我们能够统计出来用户是从哪个地方,什么时间访问网站的。比如腾讯分析网站 统计的时候是靠什么知道用户从什么地方去的网站
流媒体基础实践之——打流直播码安全保护(安全防盗链)
Tinywan
09-29 1778
功能介绍      所谓安全防盗链,是一种加了防盗链签名的URL,经过签名的URL能够跟阿麦打流服务器的安全机制进行配合,可以将URL的使用权限定在您的APP上,恶意第三方拿到URL也不能使用和传播。 (1)推流 - 推流URL加防盗链的必要性极高,尤其是在直播码跟用户ID(或者DB ID)绑定的情况下,因为客户的直播码ID很容易被攻击者窃取,进而伪装客户自己进行抢占式推流,所以为推...
Nginx防盗
m0_67062351的博客
06-12 3229
Nginx防盗
Http请求防盗
xiaoming
09-27 807
什么是防盗链 比如A网站有一张图片,被B网站直接通过img标签属性引入,直接盗用A网站图片展示。 尤其是视频网站 如何实现防盗链 判断http请求头Referer域中的记录来源的值,如果和当前访问的域名不一致的情况下,说明该图片可能被其他服务器盗用。 使用过滤器拦截请求,判断请求头中的域名与需要限制的域名访问是否一致,如果不一致的情况,说明可能被盗用。 使用过滤器判断请求头Referer记录请求来...
nginx防盗链配置
最新发布
06-21
Nginx是一款流行的开源Web服务器和反向代理服务器,它支持防盗链功能,可以防止未经授权的请求访问资源。以下是设置Nginx防盗链的基本配置步骤: 1. **开启防盗链**: 在Nginx的`http`或`server`块中添加`access_control_allow`指令,例如: ```nginx server { listen 80; location /protected { # 添加防盗链限制 access_control_allow_origin "your_allowed_domain.com"; access_control_request_method GET; if ($request_method != 'GET') { return 403; # 返回403 Forbidden } } } ``` 这里`access_control_allow_origin`指定允许的来源域名。 2. **白名单模式**: 如果希望只允许特定的源,可以设置为白名单,只允许那些在列表中的域名访问: ```nginx set $allowed_origins "domain1.com, domain2.com"; add_header Access-Control-Allow-Origin $allowed_origins; ``` 3. **黑名单模式**: 如果是黑名单模式,可以使用`!~`操作符来阻止某些域: ```nginx if ($request_uri ~* "/private/*") { if ($remote_addr !~* "^(your-blacklist-domains)$") { return 403; } } ``` 4. **自定义响应头**: 可以根据需要设置其他响应头,比如`Access-Control-Allow-Methods`、`Access-Control-Allow-Headers`等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值