什么是盗链?
比如,别人上传的东西,你直接拿了LINK去,贴到别的论坛或者网站,宣称"有好东西,快来下载",又或者告诉你的朋友"你要这个文件?俺有连接,快下",然后在那里接受别人的滔滔不绝的景仰之情。
“盗链” 的定义是:
此内容不在自己服务器上,而通过技术手段,绕过别人放广告的最终页,直接在自己的有广告有利益的页面上向最终用户提供此内容。 常常是一些名不见经传的小网站来盗取一些有实力的大网站的地址(比如一些音乐、图片、软件的下载地址)然后放置在自己的网站中,通过这种方法盗取大网站的空间和流量。
为什么会产生盗链?
一般浏览有一个重要的现象就是一个完整的页面并不是一次全部传送到客户端的。如果请求的是一个带有许多图片和其它信息的页面,那么最先的一个Http请求被传送回来的是这个页面的文本,然后通过客户端的浏览器对这段文本的解释执行,发现其中还有图片,那么客户端的浏览器会再发送一条Http请求,当这个请求被处理后那么这个图片文件会被传送到客户端,然后浏览器回将图片安放到页面的正确位置,就这样一个完整的页面也许要经过发送多条Http请求才能够被完整的显示。基于这样的机制,就会产生一个问题,那就是盗链问题:就是一个网站中如果没有起页面中所说的信息,例如图片信息,那么它完全可以将这个图片的连接到别的网站。这样没有任何资源的网站利用了别的网站的资源来展示给浏览者,提高了自己的访问量,而大部分浏览者又不会很容易地发现,这样显然,对于那个被利用了资源的网站是不公平的。一些不良网站为了不增加成本而扩充自己站点内容,经常盗用其他网站的链接。一方面损害了原网站的合法利益,另一方面又加重了服务器的负担。
如何应对盗链?
1.REFERER防盗链
referer是HTTP协议中request header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器基此可以获得一些信息用于处理。如果referer信息不是来自本站,就阻止访问或者跳到其它链接。
Referer防盗链容易破解。
2.Token防盗链(时间戳防盗链)
Token防盗链通过对时间有关的字符串进行签名,将时间和签名信息通过一定的方式传递给CDN节点服务器(CDN,Content Delivery Network,即内容分发网络。)作为判断依据,CDN 节点则会根据 URL 的加密形式,取出对应的过期时间,和当前服务器时间进行比较,确认请求是否过期,过期的话,则直接拒绝;如果时间未过期,CDN 节点将根据约定的签名算法和密文,计算加密后的值,与 URL 中的携带的加密串进行比较,如果相同,则请求会被认为是合法的,不合法的请求可以采取禁止访问或其他操作。
1)客户端业务服务器生成验证信息,具体的加密过程需要确认如下事项:
- a.确认过期时间的格式,默认采用UNIX时间戳格式;
- b.确认验证信息中的密文,用户计算验证信息,需要和 CDN 平台约定;
- c.确认验证信息时加入的参数,默认为 URL 的路径部分;
- d.根据上文的算法说明计算验证信息,其中请求 URL 中的验证参数为 _upt。
2)CDN节点验证过程:
- a.CDN根据约定解析取出过期时间,和当前 CDN 节点服务器时间进行比较,确认请求是否过期;
- b.根据上文约定好的计算方式,计算出 MD5 加密串后,和 URL 中携带的加密串进行比较,验证加密串是否一致;
- c.如果以上两个步骤都验证通过,请求才会被认为是合法的,这时 CDN 会请求资源响应给客户端,否则会被认为是非法请求,直接响应 HTTP status code 403。
3223
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
