SpringBoot 实现图片防盗链功能

最新推荐文章于 2024-06-17 09:30:29 发布
最新推荐文章于 2024-06-17 09:30:29 发布
阅读量32 收藏 1
点赞数
文章标签: spring boot 后端 java spring
原文链接:https://mp.weixin.qq.com/s?__biz=MzUxOTc4NjEyMw==&mid=2247579564&idx=1&sn=90cbbb1a52c210d79f4adb3b1ce77781&chksm=f8021450324bfa57389b120fe76eeb547e0b26018f55d51acda84e4e4c2ea1bca5cc1dc55a73&scene=126&sessionid=0
版权

👉 这是一个或许对你有用的社群

🐱 一对一交流/面试小册/简历优化/求职解惑,欢迎加入「芋道快速开发平台」知识星球。下面是星球提供的部分资料: 

5911a668b9849b18f1858a79bf6af88e.gif

👉这是一个或许对你有用的开源项目

国产 Star 破 10w+ 的开源项目,前端包括管理后台 + 微信小程序,后端支持单体和微服务架构。

功能涵盖 RBAC 权限、SaaS 多租户、数据权限、商城、支付、工作流、大屏报表、微信公众号等等功能:

  • Boot 仓库:https://gitee.com/zhijiantianya/ruoyi-vue-pro

  • Cloud 仓库:https://gitee.com/zhijiantianya/yudao-cloud

  • 视频教程:https://doc.iocoder.cn

【国内首批】支持 JDK 21 + SpringBoot 3.2.2、JDK 8 + Spring Boot 2.7.18 双版本 

来源:blog.csdn.net/weixin_46157208
/article/details/138051737

3a70a86d76dcee09bad1b5b3487ad71b.jpeg

前言

出于安全考虑,我们需要后端返回的图片只允许在某个网站内展示,不想被爬虫拿到图片地址后被下载。或者,不想浏览器直接访问图片链接。

出于性能考虑,不想要别人的网站,拿着我们的图片链接去展示,白白消耗自己的服务器资源。

故而可在springboot中,使用简单的图片防盗链规则。拦截掉一些处理。

基于 Spring Boot + MyBatis Plus + Vue & Element 实现的后台管理系统 + 用户小程序,支持 RBAC 动态权限、多租户、数据权限、工作流、三方登录、支付、短信、商城等功能

  • 项目地址:https://github.com/YunaiV/ruoyi-vue-pro

  • 视频教程:https://doc.iocoder.cn/video/

1、代码实现

本篇实战代码是简易版,代码写死配置

1-1、创建拦截器类
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class ImageProtectionInterceptor implements HandlerInterceptor {

    private static final String ALLOWED_DOMAIN = "baidudu.com"; // 允许的域名

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 获取请求的 URL
        String requestUrl = request.getRequestURL().toString();

        // 判断请求是否以图片后缀结尾
        if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || requestUrl.endsWith(".jpeg")) {
            // 获取请求的来源域名
            String referer = request.getHeader("Referer");

            // 检查来源域名是否符合预期
            if (referer != null && referer.contains(ALLOWED_DOMAIN)) {
                return true; // 符合防盗链要求,放行请求
            } else {
                response.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回 403 Forbidden
                return false; // 拦截请求
            }
        }

        return true; // 对非图片资源请求放行
    }
}
1-2、注册拦截器
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 注册拦截器,拦截所有请求
        registry.addInterceptor(new ImageProtectionInterceptor())
                .addPathPatterns("/**"); // 拦截所有请求
    }
}

基于 Spring Cloud Alibaba + Gateway + Nacos + RocketMQ + Vue & Element 实现的后台管理系统 + 用户小程序,支持 RBAC 动态权限、多租户、数据权限、工作流、三方登录、支付、短信、商城等功能

  • 项目地址:https://github.com/YunaiV/yudao-cloud

  • 视频教程:https://doc.iocoder.cn/video/

2、代码实现(灵活配置)

2-1、在 application.yml 中配置信息
# 图片防盗链配置
img-protect:
  # 图片防盗链保护开关
  enabled: true
  # 是否允许浏览器直接访问
  allowBrowser: false
  # 图片防盗链白名单,多个用逗号分隔【不填则所有网站都拦截】
  allowReferer: baidudu.com
2-2、创建配置文件映射类
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

@Component
@ConfigurationProperties("img-protect")
public class ImgProtectConfig {

    private boolean enabled;
    private boolean allowBrowser;

    private String allowReferer;

    public boolean getEnabled() {
        return enabled;
    }

    public void setEnabled(boolean enabled) {
        this.enabled = enabled;
    }

    public boolean getAllowBrowser() {
        return allowBrowser;
    }

    public void setAllowBrowser(boolean allowBrowser) {
        this.allowBrowser = allowBrowser;
    }

    public String getAllowReferer() {
        return allowReferer;
    }

    public void setAllowReferer(String allowReferer) {
        this.allowReferer = allowReferer;
    }
}
2-3、创建拦截器类
import 上方2-2创建的类路径.ImgProtectConfig;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Arrays;
import java.util.HashSet;
import java.util.Set;

@Component
public class ImageProtectionInterceptor implements HandlerInterceptor {

    @Autowired
    private ImgProtectConfig imgProtectConfig;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

  // 判断是否开启图片防盗链功能
        if (!imgProtectConfig.getEnabled()){
            return true;
        }
        
        // 获取请求的 URL
        String requestUrl = request.getRequestURL().toString();

        // 判断请求是否以图片后缀结尾
        if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || requestUrl.endsWith(".jpeg")) {
            // 获取请求的来源域名
            String referer = request.getHeader("Referer");

            // 检查来源域名是否符合预期,referer 为 null 则说明是浏览器直接访问。
            if (referer == null && imgProtectConfig.getAllowBrowser()){
                return true; // 符合防盗链要求,放行请求
            }else if (referer != null && isAllowedDomain(referer)) {
                return true; // 符合防盗链要求,放行请求
            } else {
                response.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回 403 Forbidden
                return false; // 拦截请求
            }
        }

        return true; // 对非图片资源请求放行
    }


    // 检查是否来自允许的域名
    private boolean isAllowedDomain(String referer) {
        // 获取允许的域名
        String allowedReferers = imgProtectConfig.getAllowReferer();
        // 如果允许的域名不为空
        if (allowedReferers.trim() != null && !"".equals(allowedReferers.trim())) {
            // 将允许的域名分割成字符串数组
            Set<String> allowedDomains = new HashSet<>(Arrays.asList(allowedReferers.split(",")));
            // 遍历允许的域名
            for (String allowedDomain : allowedDomains) {
                // 如果请求的域名包含允许的域名,则返回true
                if (referer.contains(allowedDomain.trim())) {
                    return true;
                }
            }
        }
        // 否则返回false
        return false;
    }

}
2-4、注册拦截器
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {
 

 // 不能再使用 new 方式创建对象 !!! 
 @Autowired
    private ImageProtectionInterceptor imageProtectionInterceptor;


    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 注册拦截器,拦截所有请求
        registry.addInterceptor(imageProtectionInterceptor)
                .addPathPatterns("/**"); // 拦截所有请求
    }
}

结束语

以上防盗链拦截器基本实现可以对付一般情况下的图片盗链,但并不能保证绝对安全。

可能出现以下等情况:

  • Referer 伪造: 恶意客户端可以伪造 referer 头。攻击者可以伪造有效的 referer 来绕过保护。

  • 漏报: 攻击者可能找到绕过 referer 检查的方法(例如使用 data URI 或 base64 编码的图片)。

  • 误报: 合法用户可能因为 referer 不匹配而被阻止(例如隐私浏览器或代理服务器)。

  • 反向代理: 攻击者可以在url路径中,添加域名白名单作为反向代理路径,绕开代码的contains方法检查。

欢迎加入我的知识星球,全面提升技术能力。

👉 加入方式,长按”或“扫描”下方二维码噢

2c22d4df11c17c4c00828ee09ab503d3.png

星球的内容包括:项目实战、面试招聘、源码解析、学习路线。

25b4252c45b5b17b31593930e6cd22ad.png

cb659fd370eff9e06f6c883d2db9edca.pngee7cde01fd8a93464b62a298342bb0b2.png5588df024cc3c98b0c12b2aa8affbdd5.pngfa22f4d937df30ac2bfc9ea0cf0a17f4.png

文章有帮助的话,在看,转发吧。
谢谢支持哟 (*^__^*)
Java基基
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
图片防盗链与破解
NickACM的专栏
06-18 668
    大家都知道:百度、腾讯QQ、网易相册的图片不能盗链,也就是说不能在非图片所在地以外的地方使用。其实这东西是有方法 可以破解的。   一:防盗链实现的方法       原理:服务器对请求头的信息(reference)字段进行判断,如果是来自本站,则通过请求,不是,则导向错误页面。   Apache下的配置: 防止文件盗链目标与要求 统一在网站根目录下的 .htacce...
asp.net中利用ashx实现图片防盗链代码
10-30
直接分析盗链原理:看下面用httpwatch截获的http发送的数据
ASP.NET实现图片防盗链功能
01-19
ASP.NET实现图片防盗链功能 很好的资源
PHP实现图片防盗链破解操作示例【解决图片防盗链问题/反向代理】
10-15
主要介绍了PHP实现图片防盗链破解操作,结合实例形式分析了PHP解决图片防盗链问题的相关操作技巧,需要的朋友可以参考下
asp.net HttpHandler实现图片防盗链
09-05
个例子来自于《Maximizing ASP.NET Real World, Object-Oriented Development》一书, 需要的朋友可以参考下。
SpringBoot配置拦截器、过滤器、监听器和Servlet
weixin_47251999的博客
04-23 1766
拦截器与过滤器区别 Filter:(实现 javax.servlet.Filter 接口) 属于Servlet 容器 请求到达 Servlet 之前就处理,可以修改request 只能作用web程序 过滤器使用场景: 过滤敏感词汇(防止sql注入) 设置字符编码 URL级别的权限访问控制 压缩响应信息 Interceptor:(实现 org.springframework.web.servlet.HandlerInterceptor 接口) 属于Spring容器,可以通过注入到IoC容器来管理 拦截.
防盗链之基于springboot过滤器实现
Lengff
11-11 1523
文章目录防盗链之基于springboot过滤器实现什么是盗链防盗链的原理防盗链实现实现代码总结 防盗链之基于springboot过滤器实现 什么是盗链 内容不在自己的服务器上,通过技术手段将其他网站的内容(图片,音乐,软件等) 放置在自己的网站中,通过这种方式盗取其他网站的空间和流量,减轻自己服务器的负担。 举个例子我们服务器上有一个播放视频的地址,其他的网站用户就可以将我们的视频地址引用到他们的网站上,他们服务器实际没有任何开销,却能以此吸引用户! 防盗链的原理 根本原理是基于HTTP协议中的Refer
Java springboot过滤器实现防盗链
Jimmy12581的博客
11-02 875
实现原理:HTTP协议响应头中包含的Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。所以我们可以通过得到响应头中包含的referer来判断其请求来自哪里,如果不是本系统页面的请求则可能是盗链(referer包含的是请求发过来的源页面,而对于浏览器地址栏直接发送的请求referer为空)。 代码实现: 1.添加一个类,继承Filter package com.app.test.common.security.http; import com.app...
Http请求防盗链
xiaoming
09-27 803
什么是防盗链 比如A网站有一张图片,被B网站直接通过img标签属性引入,直接盗用A网站图片展示。 尤其是视频网站 如何实现防盗链 判断http请求头Referer域中的记录来源的值,如果和当前访问的域名不一致的情况下,说明该图片可能被其他服务器盗用。 使用过滤器拦截请求,判断请求头中的域名与需要限制的域名访问是否一致,如果不一致的情况,说明可能被盗用。 使用过滤器判断请求头Referer记录请求来...
图片和视频防盗链简单介绍
withoutfear的博客
09-11 1266
一. 防盗链原理 http 协议中,如果从一个网页跳到另一个网页,http 头字段里面会带个 Referer。图片服务器通过检测 Referer 是否来自规定域名,来进行防盗链。 设置突破防盗链方法 1.使用apache文件FileMatch限制,在httpd.conf中增加 ( 其实也可以将把下面的语句存成一个.htaccess文件),并放到你的网站的根目录(就是www/html目录),这样子别人就没有办法盗连你的东东了~~ SetEnvIfNoCase Referer "^http://.
图片防盗链 - 知识扫盲
宋坚强大大~~
04-11 536
自己服务器上的图片,只想被自己信任的网站加载展示,其他域名禁止访问即可以通过图片防盗链做到。
大模型实战-【Langchain4J中Using AI Services in Spring Boot Application②】
会会会会
06-10 764
【代码】大模型实战-【Langchain4J中Using AI Services in Spring Boot Application②】
Spring BootJava 应用开发高效之道
2301_78385600的博客
06-12 715
Spring BootJava 应用开发的强大工具,它通过自动化配置、内嵌式 Web 服务器和独立运行的特性,极大地简化了应用的开发和部署流程。:Spring Boot 支持内嵌式 Web 服务器,如 Tomcat、Jetty 和 Undertow,这使得开发者可以快速启动和测试 Web 应用,无需复杂的 Web 服务器配置。:Spring Boot 应用可以打包为独立的 JAR 包,包含所有的依赖项,使得应用的部署和运行变得更加简单,无需外部的应用服务器。
Spring Boot 的启动原理、Spring Boot 自动配置原理
m0_47743175的博客
06-12 845
Spring Boot 的启动原理、Spring Boot 自动配置原理
新项目Springboot报错: Whitelabel Error Page
最新发布
qq_46426180的博客
06-17 103
一般出现这个问题的原因就是目录结构不正确,导致主应用程序类(Main application class)扫描不到controller类。在application类上加上@ComponentScan的注解:(com.example是需要扫描的包名)默认情况下主应用程序类(Main application class)只会扫描同一包下的Class。新项目Springboot报错: Whitelabel Error Page。
SpringBoot】理解Spring Boot自动配置的底层原理
Mia惠枫的博客
06-11 1231
在前文中,我们介绍了如何通过实现Condition接口并重写matches()方法来创建自定义条件类。Spring Boot的自动配置也是基于类似的条件机制。例如,Spring Boot的自动配置类会根据环境变量、类路径中的类以及现有的Bean来决定是否进行配置。@Override@Bean创建META-INF目录:在资源目录下(src/main/resources),创建META-INF目录。
Spring Boot中Excel的导入导出的实现之Apache POI框架使用教程
xiaodaidai的博客
06-10 1187
Spring Boot 中使用 Apache POI 实现 Excel 的导入和导出功能是一种常见的做法。Apache POI 是一个流行的 Java 库,用于处理 Microsoft Office 格式文件,包括 Excel 文件。在 Spring Boot 中结合 Apache POI 可以轻松地实现 Excel 文件的读写操作。下面我将详细介绍如何在 Spring Boot 中使用 Apache POI 实现 Excel 的导入和导出。
Spring Boot 面试热点(一)
Wells974
06-11 775
创建配置类: 创建一个带有注解的类。条件注解: 使用等注解控制配置的生效条件。注册到 SpringFactories: 在文件中注册自定义配置类。掌握 Spring Boot 的基本原理和项目结构,可以帮助你在面试中展示出对该框架的基础理解。通过实践自动配置和自定义配置,你将能够更加熟练地使用 Spring Boot 构建高效、可靠的应用程序。
探究Spring Boot自动配置的底层原理
Java领域优秀创作者
06-13 448
在当今的软件开发领域,Spring Boot已经成为了构建Java应用程序的首选框架之一。它以其简单易用的特性和强大的功能而闻名,其中最引人注目的特性之一就是自动配置(Auto-Configuration)。Spring Boot的自动配置能够极大地简化开发人员的工作,使得构建应用程序更加快速、高效。然而,自动配置背后的原理是怎样的呢?本文将深入探讨Spring Boot自动配置的底层原理,以便读者能够更好地理解其运作机制。
servlet实现防盗链
09-25
在Servlet中实现防盗链可以通过获取请求头中的Referer,并与允许的站点进行比较来判断是否为合法的访问。以下是一个简单的实现示例: ```java import java.io.IOException; import javax.servlet.ServletException;...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值