防盗链基本原始与实现

最新推荐文章于 2024-05-14 19:38:42 发布
最新推荐文章于 2024-05-14 19:38:42 发布
阅读量110 收藏
点赞数
分类专栏: JSP
  1. 我的实现防盗链的做法,也是参考该位前辈的文章。基本原理就是就是一句话:通过判断request请求头的refer是否来源于本站。(当然请求头是来自于客户端的,是可伪造的,暂不在本文讨论范围内)。
  2. 首先我们去了解下什么是HTTP Referer。简言之,HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站。(注:该文所有用的站点均假设以 http://blog.csdn.net为例)
    假如我们要访问资源:http://blog.csdn.net/Beacher_Ma 有两种情况:
    1. 我们直接在浏览器上输入该网址。那么该请求的HTTP Referer 就为null
    2. 如果我们在其他其他页面中,通过点击,如 http://www.csdn.net 上有一个 http://blog.csdn.net/Beacher_Ma 这样的链接,那么该请求的HTTP Referer 就为http://www.csdn.net
  3. 知道上述原理后,我们可以用Filter去实现这个防盗链功能。网上的做法多是用列举的方式去做的,而我这里是用正则去做,相对比较灵活点,另外,我效仿了Spring的filter做法,加了个shouldBeFilter的方法,考虑到,比如假如你要拦截*.Action的一部分方法,而不是全部时,我们就可以先看看请求的URL是否shouldBeFilter,如果不是的话,那么就直接放行,在效率上有所提高。废话不说,直接上代码吧。
//防盗链filter
public class PreventLinkFilter implements Filter {
    private static Logger logger = LoggerFactory
           .getLogger(PreventLinkFilter.class);
    // 限制访问地址列表正则
    private static List<Pattern> urlLimit = new ArrayList<Pattern>();
    // 允许访问列表
    private static List<String> urlAllow = new ArrayList<String>();
    // 错误地址列表
    private static String urlError = "";

    // 必须过Filter的请求
    protected boolean shouldBeFilter(HttpServletRequest request)
           throws ServletException {
       String path = request.getServletPath();
       for (int i = 0; i < urlLimit.size(); i++) {
           Matcher m = urlLimit.get(i).matcher(path);
           if (m.matches()) {
              logger.debug("当前的Path为{}" + path + "必须进行过滤");
              return true;
           }
       }
       return false;
    }

    public void destroy() {
       // TODO Auto-generated method stub

    }

    public void doFilter(ServletRequest request, ServletResponse response,
           FilterChain chain) throws IOException, ServletException {
       HttpServletRequest httpRequest = (HttpServletRequest) request;
       HttpServletResponse httpResponse = (HttpServletResponse) response;
       if (null == httpRequest || null == httpResponse) {
           return;
       }
       // 放行不符合拦截正则的Path
       if (!shouldBeFilter(httpRequest)) {
           chain.doFilter(request, response);
           return;
       }

       String requestHeader = httpRequest.getHeader("referer");
       if (null == requestHeader) {
           httpResponse.sendRedirect(urlError);
           return;
       }
       for (int i = 0; i < urlAllow.size(); i++) {
           if (requestHeader.startsWith(urlAllow.get(i))) {
              chain.doFilter(httpRequest, httpResponse);
              return;
           }
       }
       httpResponse.sendRedirect(urlError);
       return;
    }

    public void init(FilterConfig fc) throws ServletException {
       logger.debug("防盗链配置开始...");
       String filename;
       try {
           filename = fc.getServletContext().getRealPath(
                  "/WEB-INF/classes/preventLink.properties");
           File f = new File(filename);
           InputStream is = new FileInputStream(f);
           Properties pp = new Properties();
           pp.load(is);
           // 限制访问的地址正则
           String limit = pp.getProperty("url.limit");
           // 解析字符串,变成正则,放在urlLimit列表中
           parseRegx(limit);
           // 不受限的请求头
           String allow = pp.getProperty("url.allow");
           // 将所有允许访问的请求头放在urlAllow列表中
           urlAllow = parseStr(urlAllow, allow);
           urlError = pp.getProperty("url.error");
       } catch (Exception e) {
           e.printStackTrace();
       }

    }

    private void parseRegx(String str) {
       if (null != str) {
           String[] spl = str.split(",");
           if (null != spl) {
              for (int i = 0; i < spl.length; i++) {
                  Pattern p = Pattern.compile(spl[i].trim());
                  urlLimit.add(p);
              }
           }
       }

    }
    private List<String> parseStr(List<String> li, String str) {
       if (null == str || str.trim().equals("")) {
           return null;
       }
       String[] spl = str.split(",");
       if (null != spl && spl.length > 0) {
           li = Arrays.asList(spl);
       }
       return li;
    }
}

文件/WEB-INF/classes/preventLink.properties
用于限制的url正则,用逗号分隔多个(在这里我拦截了诸如
/csdn/index!beacher_Ma.action,/csdn/index!beacher_Ma.action?adsfdf)
url.limit=/.+/index/!.+//.action.*,/index/!.+.action?.+
这里是Http Refer是否以指定前缀开始,前两个是本地调试用的。。
url.allow=http://127.0.0.1,http://localhost,http://www.csdn.net
这里是被盗链后,response到以下的错误页面
url.error=http://www.csdn.net/error.html
参考文章:http://shen198623.javaeye.com/blog/243330
这篇文章是拦截所有的请求的,他fileter中的url-pattern是/*,这样的话,连/css /jpg等都话被filter拦截到,要么在里面进行shouldBeFilter的判断,要么就在url-pattern中缩写拦截范围,这个要看具体你要拦截什么样的请求,另外图片防盗链,下载反盗链也是一样的原理的。

http://blog.csdn.net/beacher_ma/article/details/5559739

--------------------- 本文来自 Shower稻草人 的CSDN 博客 ,全文地址请点击:https://blog.csdn.net/u013474436/article/details/50696791?utm_source=copy

AYXYJ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
图片防盗链原理及实现
likaibk的博客
10-21 1万+
防盗链原理: http标准协议中有专门的字段记录referer 1、他可以追溯到请求时从哪个网站链接过来的。 2、来对于资源文件,可以跟踪到包含显示他的网页地址是什么。 因此所有防盗链方法都是基于这个Referer字段 网上比较多的2种 一种是使用apache文件FileMatch限制,在httpd.conf中增加 ( 其实也可以将把下面的语句存成一个.htaccess文件),并
nginx中的防盗链原理
qq_44113347的博客
06-29 849
资源盗链是指内容不在自己服务器上,而通过技术手段,绕过别人的限制,将别人的内容,比如热门的图片放到自己页面上,展示给用户,以此来盗取别人网站的流量,即蹭流量。简而言之就是用别人的东西成就自己的网站如下,分别在网上找的两个图片,可以直接在浏览器中打开这两个链接引导案例利用上面的这两个图片链接,在nginx的资源目录下,创建一个html页面,将两张图片的链接设置进去。
Nginx:防盗链原理和配置
qq_57377057的博客
08-05 5585
防盗链简单来说就是存在我们服务中的一些资源,只有我们规定的合法的一类人才能去访问,其他人就不能去访问的资源(如css,js,img等资源)。具体点就是用户发送请求给nginx服务器,nginx服务器根据请求去寻找资源,请求的比如说是有个index.html文件,这个文件中会包含很多js,css,img等资源,这些文件在这个骨架中会被二次请求,在第二次请求时,会在请求头部上加上有个referer,这个referer只会在第二次请求时才会被加上。(referer表示第二次资源的来源地址).........
防盗链基本原理与实现
热门推荐
稻草人技术博客
02-19 1万+
我的实现防盗链的做法,也是参考该位前辈的文章。基本原理就是就是一句话:通过判断request请求头的refer是否来源于本站。(当然请求头是来自于客户端的,是可伪造的,暂不在本文讨论范围内)。 首先我们去了解下什么是HTTP Referer。简言之,HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务
知识点总结 - 防盗链基础与实现
z.x.k 的博客
01-11 390
无论什么项目中, 都会用到防盗链技术, 在我看来, 防盗链就是对链接、访问地址的一个最基本的保护, 让访问者不能在没有登录授权的情况下直接进入我们的项目, 没有防盗链的网址是不合格,这是基本的认知 那么防盗链的防盗功能是怎么实现的呢? ...
防盗链原理
郭先生的博客
10-20 1430
引子:明明引用了一个正确的图片地址,但显示出来的却是一个红叉或写有“此图片仅限于***网站用户交流沟通使用”之类的“假图片”(下图便是网易博客的防盗链效果)。用嗅探软件找到了多媒体资源的真实地址用下载软件仍然不能下载。下载一些资源时总是出错,如果确认地址没错的话,大多数情况都是遇上防盗链系统了。常见的防盗链系统,一般使用在图片、音视频、软件等相关的资源上。         一、什么是
php简单防盗链实现方法
10-23
PHP简单防盗链实现方法的知识点主要包括以下几个方面: ...防盗链实现方法中,主要使用了$_SERVER...需要注意的是,随着技术的发展,防盗链的技术和方法也在不断地更新和改进,上述方法属于基本且较为简单的实现方式。
Referer原理与图片防盗链实现方法详解
10-16
另一方面,反防盗链技术是一种对抗图片防盗链技术的手段,它的基本原理是在请求中伪造一个合法的Referer头信息。通过这种方式,即使是被设置了防盗链规则的图片,也可以被成功加载。例如,在采集图片时,可以通过...
PHP防盗链代码实例
10-25
通过上述的代码实例,我们可以看到一个基本防盗链实现过程,包括设置白名单、检查Referer字段、使用header()函数进行重定向等功能。需要注意的是,在实际部署时,应确保白名单域名正确无误,并考虑Referer字段可能...
使用FSO修改文件夹的名称实现文件转移防盗链
10-30
防盗链基本思路是通过一定的机制检测到非法引用,并采取相应的措施阻止非法访问。常见的方法包括但不限于HTTP头部验证、URL参数校验、图片指纹等。本文讨论的方法是利用FSO(File System Object)来修改文件夹名称,...
IIS URL Rewrite Module防盗链规则配置方法
09-30
它允许管理员通过简单配置,优化网站的URL结构,提高用户体验,同时也能够实现防盗链功能,防止其他网站非法引用你的资源。 在IIS 7.5版本中,首先需要安装URL Rewrite Module。你可以从官方网站下载对应操作系统...
流媒体基础实践之——打流直播码安全保护(安全防盗链
Tinywan
09-29 1826
功能介绍      所谓安全防盗链,是一种加了防盗链签名的URL,经过签名的URL能够跟阿麦打流服务器的安全机制进行配合,可以将URL的使用权限定在您的APP上,恶意第三方拿到URL也不能使用和传播。 (1)推流 - 推流URL加防盗链的必要性极高,尤其是在直播码跟用户ID(或者DB ID)绑定的情况下,因为客户的直播码ID很容易被攻击者窃取,进而伪装客户自己进行抢占式推流,所以为推...
绕过防盗链的几种方式
qq_68163788的博客
11-10 2675
盗链是指在网站上显示其他网站上的图片、视频或其他媒体内容,而不经过原网站所有者的授权或许可。盗链会消耗原网站的带宽和资源,同时也会侵犯原网站所有者的版权和使用权利。 盗链行为通常被视为不道德和违法的,因为它侵犯了原网站所有者的权利,同时也给原网站带来不必要的成本和资源消耗。为了防止盗链,许多网站会设置防盗链功能,当检测到盗链时,会拒绝显示内容或者显示特定的替代内容。 因此,作为网络使用者,我们应该尊重其他网站所有者的权利,遵守网络使用规则,不进行盗链行为。如果我们需要在自己的网站上使用其他网站的内容
【项目实战】图片防盗链
本本本添哥
05-14 34
对于那些提供图片托管服务且支持外链的网站,特别是那些服务于电商、博客、新闻媒体等需要频繁使用图片资源的平台,实现图片防盗链功能是非常必要的。它不仅能保护用户的权益,还能提升服务质量,营造健康的网络生态环境。
防盗链基础
mnilz的博客
03-05 105
盗链是指将其他网站上的图片、视频或其他媒体文件,显示到自己的网页上。 这种行为通常会给被链接的网站带来额外的带宽消耗和资源浪费,而且可能侵犯了原始网站的版权。
谈谈网站防盗链
weixin_33753845的博客
05-13 351
引子:明明引用了一个正确的图片地址,但显示出来的却是一个红叉或写有“此图片仅限于***网站用户交流沟通使用”之类的“假图片”(下图便是网易博客的防盗链效果)。用嗅探软件找到了多媒体资源的真实地址用下载软件仍然不能下载。下载一些资源时总是出错,如果确认地址没错的话,大多数情况都是遇上防盗链系统了。常见的防盗链系统,一般使用在图片、音视频、软件等相关的资源上。 ...
防盗链
我爱编程持之以恒
07-31 1496
一、基础防盗链 基础防盗链主要是针对客户端请求过程中所携带的一些关键信息来验证请求的合法性, 比如客户端请求IP,请求URL中携带的referer。优点是规则简单,配置和使用都很方便,缺点是防盗链所依赖的验证信息很多都是可以伪造的,因此此类防盗链可靠性较低。 1、IP 访问控制 原理: IP地址在互联网上具有唯一性,通常客户端在请求过程中,IP地址保持不变,客户端向服务端(CDN节点)发起请求时,服务端可以明确获取到客户端的IP地址,因此可以利用IP 地址的这些特点进行访问控制。 1、支持1个或多
VB+ACCESS户籍管理系统(论文+系统).zip
最新发布
08-16
计算机毕业设计资源包含(项目部署视频+源码+LW+开题报告等等),所有项目经过助教老师跑通,有问题可以私信博主解决,可以免费帮部署。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值