配置防盗链,访问控制

最新推荐文章于 2023-03-21 16:07:33 发布
最新推荐文章于 2023-03-21 16:07:33 发布
阅读量340 收藏
点赞数
文章标签: php 开发工具 python
原文链接:https://my.oschina.net/u/3960917/blog/2878210
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

[toc]

配置防盗链,访问控制

11.25 配置防盗链

1.防盗链和referer概念

防盗链,通俗讲就是不让别人盗用你网站上的资源,这个资源指的是图片、视频、歌曲、文档等,在这之前需要理解一下referer的概念,如果你通过A网站的一个页面http://a.com/a.html里面的链接去访问B网站的一个页面http://b.com/b.html,那么这个B网站页面的referer就是http://a.com/a.html。也就是说,一个referer就是一个网址。

2.编辑虚拟主机配置文件httpd-vhosts

[root@xavi ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf 
<VirtualHost *:80>

     DocumentRoot "/data/wwwroot/xavi.com"
    ServerName xavi.com
    ServerAlias www.example.com

          <Directory /data/wwwroot/xavi.com> //把xavi.com设为白名单,对应规则Allow
        SetEnvIfNoCase Referer "http://xavi.com" local_ref  // 定义允许访问链接的referer
        SetEnvIfNoCase Referer "http://aaa.com" local_ref
        SetEnvIfNoCase Referer  "^$"   local_ref //把空referer设为白名单,对应规则Allow;其中^$为空referer,即直接访问的地址,当直接再浏览器里输入图片地址去访问它时,它的referer就为空。
      
        <filesmatch "\.(txt|doc|mp3|zip|rar|jpg|gif)">  // 对txt、doc等格式的文件执行访问控制,访问这样类型的文件时就会被限制.
            Order Allow,Deny  //白名单地址allow,其他deny,执行顺序依次为allow、deny,反过来将导致都被禁止访问
        Allow from env=local_ref // 只有符合白名单上的referer才能访问xavi.com目录。
        </filesmatch>

3.开启httpd服务,-t检查语法,graceful重新加载

[root@xavi ~]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@xavi ~]# /usr/local/apache2.4/bin/apachectl graceful

4. 测试

创建测试需要条件:

[root@xavi ~]# touch /data/wwwroot/xavi.com/xavi.jpg
[root@xavi ~]# touch /data/wwwroot/xavi.com/xavi.txt
[root@xavi ~]# curl -x127.0.0.1:80 -I xavi.com/xavi.jpg  //图片和JPEG都在空refer里
HTTP/1.1 200 OK
Date: Thu, 08 Mar 2018 14:11:57 GMT
Server: Apache/2.4.29 (Unix) PHP/7.1.6
Last-Modified: Thu, 08 Mar 2018 14:11:27 GMT
ETag: "0-566e7406be177"
Accept-Ranges: bytes
Content-Type: image/jpeg

[root@xavi ~]# curl -x127.0.0.1:80 -I xavi.com/xavi.txt
HTTP/1.1 200 OK
Date: Thu, 08 Mar 2018 14:12:13 GMT
Server: Apache/2.4.29 (Unix) PHP/7.1.6
Last-Modified: Thu, 08 Mar 2018 14:11:34 GMT
ETag: "0-566e740d104e7"
Accept-Ranges: bytes
Content-Type: text/plain
这里使用-e来定义referer,且这个referer一定要以http://开头.
[root@xavi ~]# curl -x192.168.72.130:80 -I -e "http://xavi.com/xavi.txt" http://xavi.com/xavi.jpg
HTTP/1.1 200 OK
Date: Thu, 08 Mar 2018 14:13:17 GMT
Server: Apache/2.4.29 (Unix) PHP/7.1.6
Last-Modified: Thu, 08 Mar 2018 14:11:27 GMT
ETag: "0-566e7406be177"
Accept-Ranges: bytes
Content-Type: image/jpeg
使用非允许的referre会返回403状态码
[root@xavi ~]# curl -x192.168.72.130:80 -I -e "http://xavix.com/xavi.txt" http://xavi.com/xavi.jpg  //xavix.com不在refer白名单中
HTTP/1.1 403 Forbidden
Date: Thu, 08 Mar 2018 14:20:18 GMT
Server: Apache/2.4.29 (Unix) PHP/7.1.6
Content-Type: text/html; charset=iso-8859-1

11.26 访问控制Directory

对于一些比较重要的网站内容,除了可以使用用户认证限制访问之外,还可以通过其他一些方法做到限制,比如限制IP,也可以限制user_agent。限制IP指的是限制访问网址的来源IP,而限制user_agent,通常用来限制恶意或者不正常的请求.

1. 限制IP访问,编辑配置文件

<Directory /data/wwwroot/xavi.com/admin/>  // 指定需要访问控制的网站的admin目录
Order deny,allow   //访问控制的顺序,先所有都拒绝,然后再允许指定的ip。和iptables不同,可以全部规则都执行下去。
Deny from all   // 拒绝所有的来源ip
Allow from 127.0.0.1 //指定允许访问的来源ip(指定网段也可以192.168.0.0/24)
    </Directory>

mark

2.验证过程

匹配127.0.0.1IP访问
[root@xavi ~]# mkdir /data/wwwroot/xavi.com/admin/
[root@xavi ~]# echo "admin" > /data/wwwroot/xavi.com/admin/index.html
[root@xavi ~]#  /usr/local/apache2.4/bin/apachectl graceful
[root@xavi ~]# curl -x127.0.0.1:80 -I xavi.com/admin/index.html
HTTP/1.1 200 OK
Date: Thu, 08 Mar 2018 14:49:45 GMT
Server: Apache/2.4.29 (Unix) PHP/7.1.6
Last-Modified: Thu, 08 Mar 2018 14:45:59 GMT
ETag: "6-566e7bbe73f30"
用本机ip访问,被阻止访问
[root@xavi ~]# curl -x192.168.72.130:80 -I xavi.com/admin/index.html //不是运行的ip
HTTP/1.1 403 Forbidden
Date: Thu, 08 Mar 2018 14:52:21 GMT
Server: Apache/2.4.29 (Unix) PHP/7.1.6
Content-Type: text/html; charset=iso-8859-1
查看错误日志cat /usr/local/apache2.4/logs/xavi-access_log
[root@xavi ~]# cat /usr/local/apache2.4/logs/xavi-access_log
127.0.0.1 - - [06/Mar/2018:22:48:23 +0800] "GET HTTP://xavi.com/ HTTP/1.1" 401 381
127.0.0.1 - - [06/Mar/2018:22:50:18 +0800] "HEAD HTTP://xavi.com/ HTTP/1.1" 401 -
192.168.72.1 - - [06/Mar/2018:22:58:52 +0800] "GET / HTTP/1.1" 401 381
192.168.72.1 - - [06/Mar/2018:22:59:22 +0800] "GET /favicon.ico HTTP/1.1" 401 381
127.0.0.1 - xavi [06/Mar/2018:23:03:45 +0800] "GET HTTP://xavi.com/ HTTP/1.1" 401 381

11.27 访问控制FilesMatch

编辑虚拟主机配置文件,进行FilesMatch配置;既要匹配文件,又要限制IP

1.编辑配置filesmatch

[root@xavi ~]# vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf 
<Directory /data/wwwroot/xavi.com/admin/>
<FilesMatch "admin.php(.*)">   //文件匹配admin.php后面跟任意的字符
Order deny,allow     //访问控制的顺序,先所有都拒绝,然后再允许指定的ip
Deny from all          // 拒绝所有的来源ip
Allow from 127.0.0.1  //指定允许访问的来源ip(指定网段也可以192.168.0.0/24)
</FilesMatch>

检查语法错误,在加载

[root@xavi ~]# /usr/local/apache2.4/bin/apachectl -t
Syntax OK
[root@xavi ~]#  /usr/local/apache2.4/bin/apachectl graceful

测试结果:

[root@xavi ~]# curl -x192.168.72.130:80 http://xavix.com/admin/alsdedadsdk -I //这里只允许127.0.0.1访问

HTTP/1.1 404 Not Found
Date: Thu, 08 Mar 2018 15:08:06 GMT
Server: Apache/2.4.29 (Unix) PHP/7.1.6
Content-Type: text/html; charset=iso-8859-1

[root@xavi ~]# vim /data/wwwroot/xavi.com/admin/index.php
[root@xavi ~]# curl -x127.0.0.1:80 'http://xavi.com/admin/index.php?alsdedadsd' -I
HTTP/1.1 200 OK //这里只允许127.0.0.1访问
Date: Thu, 08 Mar 2018 15:19:19 GMT
Server: Apache/2.4.29 (Unix) PHP/7.1.6
X-Powered-By: PHP/7.1.6
Content-Type: text/html; charset=UTF-8

[root@xavi ~]# curl -x127.0.0.1:80 'http://xavi.com/admin/.php?alsdedadsd' -I //能够连接,但是无此页面

HTTP/1.1 404 Not Found 
Date: Thu, 08 Mar 2018 15:19:57 GMT
Server: Apache/2.4.29 (Unix) PHP/7.1.6
Content-Type: text/html; charset=iso-8859-1

试验结果:只有127.0.0.1能够访问 admin.php(.*)的网页。其余IP,无此权限;

files和filesmatch等的区别

mark

转载于:https://my.oschina.net/u/3960917/blog/2878210

D_SJ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解Nginx防盗链和Nginx访问控制与Nginx解析php配置
01-20
详解Nginx防盗链和Nginx访问控制与Nginx解析php配置 Nginx防盗链 配置如下,可以和上面的配置结合起来 location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)$ { expires 7d; valid_...
配置防盗链
weixin_34153893的博客
12-25 98
2019独角兽企业重金招聘Python工程师标准>>> ...
linux配置防盗链访问控制介绍
weixin_33885253的博客
12-25 174
配置防盗链 防盗链,就是不让别人盗用你网站上的资源,这个资源,通常指的是图片、视频、歌曲、文档等。 referer的概念 你通过A网站的一个页面http://a.com/a.html 里面的链接去访问B网站的一个页面http://b.com/b.html ,那么这个B网站页面的referer就是http://a.com/a.html。 也就是说,一个referer其实就是一个网址。 配置...
Apache安全优化——配置防盗链
weixin_47219725的博客
08-09 339
目录一、防盗链概述二、盗链模拟2.1 模拟步骤2.2 官方网站配置2.2.1 准备三个压缩包2.2.2 安装Apache服务2.2.3 优化Apache配置2.2.4 安装 配置NDS服务器2.2.5 启动Apache和DNS解析服务2.3 盗链网站配置2.3.1 开启服务三、 未开启盗链 测试四、开启防盗链 测试 一、防盗链概述 防盗链是防止别人的网站代码里面盗用我们自己服务器上的图片、文件、视频等相关资源。 如果别人盗用网站的这些静态资源,明显的是会增大服务器的带宽压力。 作为网站的维护人员,
配置防盗链访问控制Directory、FilesMatch
weixin_33854644的博客
05-31 116
配置防盗链 首先来了解一下什么是盗链,全称是盗取链接,假如我们的网站有很多好看的图片,别人可以查看我们网站图片的链接,然后应用在他的网站上,这样的话,去访问他的网站,实际上消耗的是我们的流量(因为实际链接在我们这里),这样我们就不得不去配置防盗链,使得别人不能复制我们图片的链接。 防盗链的实现原理就不得不从HTTP协议说起,在HTTP协议中,有一个表头字段叫referer,采用URL的格式来表示从...
Nginx跨域访问场景配置防盗链详解
01-10
跨域访问控制 跨域访问 为什么浏览器禁止跨域访问 不安全,容易出现CSRF攻击! 如果黑客控制的网站B在响应头里添加了让客户端去访问网站A的恶意信息,就会出现CSRF攻击 Nginx如何配置跨域访问 add_header语法 ...
ISAPI Rewrite实现IIS图片防盗链
09-28
为了实现图片防盗链,根据网络上搜集的资料加上自己的实践,终于实现了iis下的图片防盗链功能。  实施步骤:  1.下载比较出名的www.helicontech.com提供的ISAPI Rewrite软件的免费版本(免费版本虽然有一些功能上...
防盗链及流量控制(纵横IIS链接嗅探狗) v3.9 增强版
11-03
8. 新版防盗链完全采用域名独立的方式来配置,用户配置方便。 9. 支持流媒体防盗链,包括Flash和电影在线播放,音乐在线播放,流媒体盗链采用64位加密技术。 10. 采用C++编写,处理速度快,占用资源极少,效率要比...
配置防盗链访问控制
weixin_30275415的博客
03-06 86
一、配置防盗链 1、作用:不让别人盗用网站资源,本节通过限制referer来实现防盗链的功能。 2、编辑虚拟主机内容: <VirtualHost *:80> DocumentRoot "/data/testphp/111.com ServerName 111.com ServerAlias www.example.com 2111.com.cn<Direc...
nginx 配置防盗链(了解)
健康平安的活着的专栏
11-12 1126
网站上页面的一些静态资源,不想让本站点的静态资源被他人盗取访问。使用nginx判断请求连接的头部refer中是否含有内容以及合法性来进行处理。referer表示第二次资源的来源地址。
配置Nginx的防盗链
weixin_30847271的博客
05-23 75
实验环境 一台最小化安装的CentOS 7.3虚拟机 配置:1核心/512MB nginx版本1.12.2 一、配置盗链网站 1.启动一台nginx虚拟机,配置两个网站 vim /etc/nginx/conf.d/vhosts.conf 添加以下内容 server { listen 80; server_name site1.test.com; root /v...
Nginx优化与防盗链相关配置
Demo_lu的博客
06-10 202
Nginx优化与防盗链相关配置一、隐藏 Nginx版本号(一)如何隐藏Nginx版本号(二)隐藏Nginx版本号配置命令二、修改用户与组三、配置缓存时间四、日志切割五、连接超时六、更改进程数七、配置网页压缩八、防盗链九、fpm参数优化 一、隐藏 Nginx版本号 (一)如何隐藏Nginx版本号 1、在生产环境中,需要隐藏Ngnx的版本号,以避免安全漏洞的泄漏 2、查看方法 ——使用fiddler工具在 Windows客户端查看 Nginx版本号 ——在 Centos系统中使用“curl -I 网址”命令查看
【Nginx】防盗链基本配置
wei的博客
03-21 213
Nginx的防盗链配置防盗链的none,bloacked
rewrite 防盗链 和限制ip 访问
CaiL_520914的博客
08-18 554
多个ip回车填写,这个ip我们拒绝访问,修改一下也可以设置为只允许几个ip访问
Apache压缩模块配置及网页缓存,防盗链配置命令
Demo_lu的博客
06-07 165
这里写目录标题一、Apache压缩模块(一)网页压缩(二)网页gzip概述(三)Apache的压缩模块(四)启用网页压缩功能步骤(五)Apache的压缩模块配置命令二、网页缓存(一)配置网页的缓存时间概述(二)启用网页的缓存功能步骤(三)网页缓存优化配置命令三、安全优化(防盗链)(一)防盗链概述(二)防盗链步骤与命令四、隐藏版本信息(一)配置Apache隐藏版本信息的必要性(二)隐藏版本信息步骤与命令 一、Apache压缩模块 (一)网页压缩 1、网页优化概述 在企业中,部署Apache后会有默认的配置参数
Nginx服务优化措施与配置防盗链
ZHUZIH6的博客
03-08 1369
总结优化nginx的相关操作并详细介绍大部分实操(例如隐藏版本号、修改用户与组、设置缓存时间、日志分割、设置连接超时、开启多进程、配置网页压缩、配置防盗链等详细实验操作)
html域名防盗链,跨域访问防盗链基本原理(一)
weixin_35117321的博客
06-03 597
一、什么是防盗链网站资源都有域的概念,浏览器加载一个站点时,首先加载这个站点的首页,一般是index.html或者index.php等。页面加载,如果仅仅是加载一个index.html页面,那么该页面里面只有文本,最终浏览器只能呈现一个文本页面。丰富的多媒体信息无法在站点上面展现。那么我们看到的各类元素丰富的网页是如何在浏览器端生成并呈现的?其实,index.html在被解析时,浏览器会识别页面源...
minio配置防盗链
最新发布
10-13
配置Minio防盗链,可以通过设置bucket策略来实现。具体步骤如下: 1. 使用Minio客户端创建一个新的策略文件,例如policy.json,内容如下: ``` { "Version": "2012-10-17", "Statement": [ { "Effect": ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值