[基于Asp.Net的防盗链](二) 思路

最新推荐文章于 2024-05-25 15:23:03 发布
最新推荐文章于 2024-05-25 15:23:03 发布
阅读量97 收藏
点赞数
文章标签: php 运维
原文链接:http://www.cnblogs.com/jorise/archive/2010/01/08/1641894.html
版权

上班一大早就来写了,很多朋友惦记着这篇文章。不浪费时间了。。

这篇文章,主要思考下,防盗链的实现方式,以及具体实现的思考。

 

实现原理:
原理其实很简单,在文件被访问之前判断请求是否合法,如果不合法,就拦截掉,提示错误信息。
所以我在想,重点是怎么去判断,这个请求是不是合法的。

 

判断方式:

我粗略的想了想,想到两种关系方式。
一、判断请求的 来源页(referer) 是不是来自自己的域名。如果不是,就拦截掉。
二、使用 加密验证 的方式来判断,请求是不是合法。

我上午在园子里找了找,发现基本上都是第一种 来源页(referer) 方式。。这种方法是最简单的方法。
这种方法实现起来简单,你在网上会看到很多的“图床”采用这种方式,去防止外链。。
如果你的要求只是要防止外链的话,这种方法就够用了。。
但这种方式有一定的不足之处,因为 来源页(referer) 是可以伪造的。。
笔者用过一些“黑客浏览器”,是可以自定义每一个请求的 http header 。

由于 赞美诗网 是音乐试听下载网站,第一种方式明显不合适我。
我的需求,不光是防止外链,还要防止采集到地址而批量下载,或者说,我要限制只有正常浏览网站的用户才能访问我的文件。
所以,我必须使用第二种方式,使用加密验证的方式,来判断请求是不是合法。。

注:由于第一种方式,园子里有很多介绍,本文就不过多的介绍如何实现。
本文主要重点在第二种方式。结合实现的项目应用展开。。


--------------------------------------------------------------------------------------------
本文的目的,是还算比较详细的介绍怎么处理防盗链,注意:是基于asp.net的防盗链。。

不过实际上,是支持任何平台任何语言的。 主要介绍 加密验证 的实现。

 

上文介绍了两种判断方式,那我们来看看,具体怎么实现。
本文的重点是介绍第二种,加密验证方式,所以,第一种只是简单介绍,具体实现,各位可以到园子去找找,有很多。

 

一、判断 来源页(referer) 方式:
这种方式很简单了,大多WEB服务器都原生支持,不需要我们写一行代码,只要写几行配置文件就行了。
iis, nginx, apache 中只要配置urlrewrite规则就可以了。 (注:iis可能要另外安装rewrite组件)
asp.net 中,我们还可以使用 httpmodule 和 httpheader 来处理请求。

 

二、加密验证方式
这种方式稍微复杂一点,在生成文件地址的时候,生成一个 hash ,放到url中一起,然后在文件服务器,判断这个hash是否合法。
这样来判断,这个请求是不是合法请求。。这种方式需要我们自己来写一些代码实现。


当然,如果你够有钱,可以买商业程序,但是商业程序需要我们去调用接口,也比较麻烦的还花钱。。
鉴于程序员=民工)(我也是),所以我们就自己来来实现吧。。。 

这种方式的重点,在于怎么生成 验证码(hash)

看看我们的需求:防外链,有效期限制(时间),防下载软件,限IP?
基于以上要求,生成的hash当中,必须要包含这些信息。

因为这个hash只需要用来验证,所以不需要还原成明文验证,我直接使用md5加密了。。
那我们要怎么组合这个hash来达到以上的要求呢? 看官先想想。。。。。。。。。



想好了没? 没? 是没想吧~~~~ 算了,我直接说吧。

防外链:          随便加点密就可以防外链了,随意换换加密内容。
                     但是生成的hash是谁都能用的,所以我们需要更多限制,把IP也加在加密内容中,这样就可以防止别人连接了。

时间限制:       把当前时间做些处理,放在加密内容当中,这要就可以设置有效期了。

防下载软件:    由于http请求中会携带 浏览器信息(Request.UserAgent)
                     而且不同的浏览器,不同的软件,根据系统环境和安装的程序,都各不相同。
                     所以,把这个信息放在加密的内容中,就可以防止不同浏览器或下载软件了。

基于以上条件,我的加密格式是这样:“{type}{id}{time}{agent}{ip}”

{type}   表示类型,  因为我站中,有多种类型,每种类型的hash我都要不一样。。 单独限制
{id}       表示标识,  通常我使用表中的Id字段,或是每个文件的唯一标识,(也可以使用url来算md5做标识)
{time}    时间标记,  用来限制hash的有效期。
{agent}  http头,     浏览器或软件携带的http header..
{ip}        IP地址,     这样,每个hash对应不同的IP,只有这个IP可以访问。也就是说,我得到的地址,发给你,你是访问不了的。

注:这个加密格式是可以随意设置的。可以加一些混淆的内容,比如:“a{type}b{id}c{time}d{agent}e{ip}ksksksksk”
这样保证你的格式和别人不一样,而这个hash是在服务端生成,所以,别人是没办法盗用的。
除非别人知道你的格式,否则是没办法破解的。。 建议你自己加一些混淆内容。。

汗~~~限制的好死~~~    这样的话,基本上,只有正常浏览网站的用户,才能访问文件了。
所以,如果你只想防外链的话,用第一种判断方式吧。。。。。 此方式限制太高。。


具体做法:
在网站中,根据以上条件生成hash,携带在文件的url中,做为一个参数,
然后在文件服务器中使用 httpmodule 或 httpheader 来生成新的hash和传过来的hash对比。
如果hash不相等,就是无效请求。。   (仅限Asp.Net)

如果其它语言要使用的话,也是可以,只是麻烦一点。。 就是:所有的文件请求,都通过程序转一次。
比如php,原本请求文件 /down/aa.mp3  ,现在要使用php程序去发送文件。 /down.php?file=/down/aa.mp3
用php判断hash, 再程序读文件发送。。。。。  其它语言也一样。。。 
目前  赞美诗网  就是通过程序发送文件的方式。



这篇到这,接下来,会讲具体的实现,以也项目的实践。


枫知秋 原创文章 转载请声明 并 写明出处
http://jorise.cnblogs.com/

转载于:https://www.cnblogs.com/jorise/archive/2010/01/08/1641894.html

weixin_33991418
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Asp.net防盗链实例
03-30
为达到最佳效果,推荐使用九网互联的ASP.net空间,支持ASP.net版本1.1和2.0在线切换、在线脚本映射、ASP.net具体错误信息在线查看。通过设置web.config中的域名即可控制哪些域名是允许的,设置是否直接下载、是否...
怎么防止网站图片被盗链?
weixin_33918114的博客
03-07 552
要防止网站图片被盗链,那么就有必要了解?链的手段,基本上可以分为两种: 第一种:盗链者直接使用图片链接引用网站上的图片。防止这种盗链情况的发生有两种可行的方法:通过Apache服务器进行控制和使用SESSION变量在程序中进行控制。 第种:直接从网站上下载图片并且复制使用。 防止图像盗链的方法主要有两种解决方案,一种使用Apache的mod_rewrite.so扩展,另一种使用PHP的...
Web资源防盗链
qq_36935386的博客
07-31 256
什么是防盗链 防盗链的工作原理 防盗链的实现方法 盗链概念 盗链是指在自己的页面上展示一些并不在自己服务器上的内容。 获得他人服务器上的资源地址,绕过别人的资源展示页面,直接在自己的页面上向最终用户提供此内容。 常见的是小站盗用大站的图片、音乐、视频、软件等资源。 通过盗链的方法可以减轻自己服务器的负担,因为真实的空间和流量均是来自别人的服务器。 防盗链概念 防止别人通过一些技术手段绕过本站的资源展示页面,盗用本站的资源,让绕开本站的资源展示页面的资源链接失效。 可以大大减轻服务器及带宽的压力。 防盗链.
由Gitee图床设置防盗链事件来谈谈Referer属性的作用
double_sweet1的博客
03-26 2638
今天各个技术群里都在讨论Gitee图床资源访问不起的事件: 自己博客里来源于Gitee图床的图片资源全都变成了Gitee图标: emmm,虽然说拿公开代码仓库当图床不是上策,但是免费的东西它就是香呀~ 因此还是有不少小伙伴平常是用Gitee来当图床使的。 但是Gitee在未提前声明的情况下,要求资源请求方在请求里包含Referer属性,从而实现图片防盗的目的属实是格局小了。。当然也不排除是其他技术漏洞导致的短暂bug。 既然定位到了问题是出在了Gitee服务端通过Referer属性来限制图
运维有趣项目:更换域名,图床设置防盗链与Apache2.4禁止IP访问设置(小问题总结)
XXxia1XX的博客
06-30 185
这篇文章主要是对于解决七牛云更换域名并设置防盗链后导致的问题,相当于前面文章的补充,这篇文章前提是使用七牛云做图床,用obsidian作为私人博客,用Apache2.4搭建网站,这篇写的不太好,主要是状态不好,而且Apache2.4属于自己摸索出来的,可能存在意外,希望谨慎对待。
呆错图床系统源码图片CDN加速与破解防盗链功能
极乐数据
07-02 326
呆错图床系统是一款免费的PHP图床程序,核心功能是提供图片外链服务、图床API服务、图片CDN加速与破解防盗链。图片上传支持本地储存、FTP储存、第三方云储存(阿里云 OSS、腾讯云 COS、七牛云等)。图片外链加速一键转换第三方网站的图片外链地址为呆错免费图床可分享的图片地址(支持CDN)。图片解析服务直接将第三方外链图片地址显示为图片、支持多种缓存方式,可有效破解图片防盗链功能。API上传接口通过API上传接口可以将本地图片上传至呆错免费图床并以JSON格式返回图片的真实地址。API转换接口通过API转
ASP.NET防盗链示例代码
05-17
摘要:.NET源码,其它类别,防盗链 PreventDirectLink防盗链功能的实现实例, FrameWork4.0版本,程序逻辑如下:  // 判断是否是本地引用,如果是则返回给客户端正确的图片  // 这里的判断就是用到了http请求中所...
asp.net中利用ashx实现图片防盗链代码
10-30
直接分析盗链原理:看下面用httpwatch截获的http发送的数据
asp.net HttpHandler实现图片防盗链
12-11
Step.1:创建文件 CustomHandler.cs,代码如下: 代码如下: using System; using System.Web; namespace CustomHandler{ public class JpgHandler : IHttpHandler{ public void ProcessRequest(HttpContext context)...
Gitee图床无法访问新增防盗链,最新详细解决方案
欢迎来到 Baret~H 的博客
03-26 3377
目录一、寻找Gitee图床挂掉的原因、迁移到腾讯云cos1. 创建存储桶2. 设置密钥3. 配置PicGO4. 验证配置是否成功5. 迁移Gitee图片6. 批量更改url前缀三、最后想说 一、寻找Gitee图床挂掉的原因 昨天晚上准备整理一下以前写的笔记,就打开了曾经写的Typora文档,不看不知道,一看吓一跳,发现所有网络图片全部挂掉了,以为是Gitee官方的问题,于是就没管了,想着明天就好了。 然而到了今天下午,发现还是没有好,这不太对劲啊,于是直接复制图片的url到浏览器 发现直接存在错误,
.NET 使用HttpHandler实现防盗链操作
yourispy的博客
05-31 113
1.创建一个工程,工程下面images文件夹里有jpg图片资源 2.创建第个工程,要引用上一个工程的jpg图片资源 3.两个工程各自创建一个aspx页面
【Web】CISCN 2024初赛 题解(全)
uuzeray的博客
05-21 1183
这里注意细节,靶机发了两次请求,第一次我们就返回一个正常的图片,第次请求就发一个302,php代码块要用html标签包裹。注意下面这段报错,因为加不了引号,开头是数字的话,就会将类型识别为数字,若后续出现了字符串就会报错。再打sqlite,指定tableName,加载写入的恶意so文件,反弹shell。最后注意要将获取的变量元组转字符串,再用逗号分隔,依次输出,从而绕过seed。考的python栈帧沙箱逃逸,获取到外部的栈帧,就可以用。因为ban了引号,考虑hex2bin,将数字转为字符串。
【全开源】沃德商协会管理系统源码(FastAdmin+ThinkPHP+Uniapp)
最新发布
u011092458的博客
05-25 477
一款基于FastAdmin+ThinkPHP+Uniapp开发的商协会系统,新一代数字化商协会运营管理系统,以“智慧化会员体系、智敏化内容运营、智能化活动构建”三大板块为基点,实施功能全场景覆盖,一站式解决商协会需求壁垒,有效快速建立自有数字化管理体系、提升组织管理效能、增强会员粘性、沟通连接市场,真正做到为构建有影响力的现代化智慧型组织赋能。数据决策支持:沃德商协会管理系统源码提供的数据统计和分析功能,为商协会提供了宝贵的决策支持,帮助商协会更好地了解市场需求和会员需求,制定更精准的发展战略。
深入解析:Element Plus 与 Vite、Nuxt、Laravel 的结合使用
一个普通人
05-23 981
Element Plus 作为一个强大的 Vue.js 组件库,可以与 Vite、Nuxt 和 Laravel 等不同的工具和框架结合使用,为开发者提供灵活、高效的开发体验。根据项目需求选择合适的工具和框架,可以极大地提升开发效率和应用性能
PHP生成维码+维码包含logo图片展示
颜夕_
05-20 288
前端你自己列表读uploads/admin/qrcode/‘.$aid.’.png这个就行。生成维码包含logo图片(代码仅供参考,逻辑按照自己的写)用到的扩展自己安装(注:只生成维码只要开gd扩展就行)
PHP封装一个强大且通用的CURL方法
A-南的博客
05-23 221
PHP封装一个通用的CURL方法 支持:get、post、put、delete、patch、options。
Vitis HLS 学习笔记--控制驱动TLP-处理deadlock
hi94的博客
05-22 985
在数据流优化中,通道类型、握手机制、FIFO大小和死锁避免都是关键因素。通过Dataflow查看器和协同仿真数据,您可以有效地优化设计,提高性能并避免潜在问题。
PHP小课堂】学习了解PHP中Memcached扩展的使用
硬核项目经理
05-20 882
学习了解PHP中Memcached扩展的使用说实话,在目前的开发环境中,使用 Memcache 的项目还真的不多。在 Redis 大行其道的今天,Memcache 的衰退也可以说是大势所趋。不过,可能很多刚开始学习 PHP 的新同学不知道,当年在 LAMP 时代,除了这四个字母所代表的这些服务端软件之外,缓存上最出名的就是这个 Memcache ,它和 PHP 搭配的历史也非常的长。因此,今天我们...
PHP身份证真伪验证、身份证、三要素核验、身份证ocr接口
weixin_49544544的博客
05-23 305
而OCR与实名认证两种产品的结和更是擦出了美丽的火花。翔云证件识别API可识别代身份证、行驶证、临时身份证、驾照、港澳通行证、军官证、护照、签证、台湾通行证、大陆通行证、内地通行证正面、内地通行证背面、户口本、居住证、香港永久性居民身份证、登机牌、边民证、澳门身份证、律师证、台湾身份证、新版台湾居民往来大陆通行证、卡式港澳台通行证、中国驾驶证副页、深圳居住证、马来西亚身份证等等,有兴趣可以登陆。翔云身份证识别+身份证实名认证接口可谓是高效、智能的搭配,用户仅需上传身份证图片即可快速实现身份的实名认证。
基于asp.net的宠物网站
03-28
宠物网站可以基于ASP.NET开发,以下是实现基于ASP.NET的宠物网站的一些步骤: 1. 设计网站架构和功能:确定网站的目标受众,确定网站需要提供的功能,如浏览宠物信息、购买宠物、发布宠物信息等等。 2. 确定数据库...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值