Referer;盗链;防盗链的工作原理

最新推荐文章于 2024-06-29 21:53:32 发布
最新推荐文章于 2024-06-29 21:53:32 发布
阅读量906 收藏
点赞数
分类专栏: 前端 网络 文章标签: 安全 前端 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59280309/article/details/128584440
版权
文章详细介绍了Referrer-policy的用途和设置方法,包括如何通过meta标签和元素属性控制referer信息。同时,文章探讨了防盗链的概念,解释了其工作原理,并提供了一些绕过图片防盗链的方法。此外,还讨论了服务器端如何利用nginx和自定义逻辑来实现防盗链保护。
摘要由CSDN通过智能技术生成

目录

Referrer-policy

如何设置referer

盗链

防盗链的工作原理

绕过图片防盗链

设置meta

设置referrerpolicy="no-referrer"

客户端在请求时修改header头部

利用https网站盗链http资源网站,refer不会发送

常见防盗链方法

利用nginx

服务器端判断referer

防止网址被 iframe

Referer请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用Referer(注:正确英语拼写应该是referrer,由于早期HTTP规范的拼写错误,为了保持向后兼容就一直延续下来)请求头识别访问来源,可能会以此统计分析、日志记录以及缓存优化等。

 

  注: Referer请求头可能会暴露用户的浏览历史、涉及到用户的隐私问题。

Referrer-policy

Referrer-policy作用就是为了控制请求头中referer的内容

一定程度上可以防御CSRF

包含以下值:

  • no-referrer : 整个referee首部会被移除,访问来源信息不随着请求一起发送。

  • no-referrer-when-downgrade : 在没有指定任何策略的情况下用户代理的默认行为。在同等安全级别的情况下,引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送 (HTTPS->HTTP).

  • origin: 在任何情况下,仅发送文件的源作为引用地址。例如 https://example.com/page.html 会将 Example Domain 作为引用地址。

  • origin-when-cross-origin: 对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。

  • same-origin: 对于同源的请求会发送引用地址,但是对于非同源请求则不发送引用地址信息。

  • strict-origin: 在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS),但是在降级的情况下不会发送 (HTTPS->HTTP)。

  • strict-origin-when-cross-origin: 对于同源的请求,会发送完整的URL作为引用地址;在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS);在降级的情况下不发送此首部 (HTTPS->HTTP)【不会发送referrer】。

  • unsafe-url: 无论是同源请求还是非同源请求,都发送完整的 URL(移除参数信息之后)作为引用地址。(最不安全)

浏览器兼容性icon-default.png?t=MBR7https://caniuse.com/?search=referer-policy

如何设置referer

  1. 在HTML里设置meta

<meta name="referrer" content="origin">

 

或者用<a>、<area>、<img>、<iframe>、<script> 或者 <link> 元素上的 referrerpolicy 属性为其设置独立的请求策略。 如:

<script src='/javascripts/test.js' referrerpolicy="no-referrer"></script>

 

 

未加referrerpolicy属性的link元素:  

盗链

 盗链是指在自己的页面上展示一些并不在自己服务器上的一些内容, 获取别人的资源地址,绕过别人的资源展示页面,直接在自己的页面上向最终用户提供此内容。 一般被盗链的都是图片、 可执行文件、 音视频文件、压缩文件等资源。通过盗链的手段可以减轻自己服务器的负担

比如在自己页面里引入百度贴吧里的一张照片:

<body>
    <img src="https://tiebapic.baidu.com/forum/w%3D580%3B/sign=f88eb0f2cf82b9013dadc33b43b6ab77/562c11dfa9ec8a135455cc35b203918fa1ecc09c.jpg"> 
</body>

但实际上是无法展示的(如下图),之所以无法展示是因为百度的图片做过防盗链处理

防盗链的工作原理

通过Referer或者签名,网站可以检测目标网页访问的来源网页,如果是资源文件,则可以追踪到显示它的网页地址 一旦检测到来源不是本站,即进行阻止或者返回指定的页面

绕过图片防盗链

那么现在的很多网站是如何利用referer来进行防图片盗链的呢?

三种情况下允许引用图片:

  1. 本网站。

  2. 无referer信息的情况。(服务器认为是从浏览器直接访问的图片URL,所以这种情况下能正常访问)

  3. 授权的网址。

我们只能从情况2入手,通过设置referer为空进行绕过防盗链。

设置meta

<meta name="referrer" content="no-referrer" />

设置referrerpolicy="no-referrer"

客户端在请求时修改header头部

参考内容icon-default.png?t=MBR7http:// https://juejin.cn/post/6844903892170309640

利用https网站盗链http资源网站,refer不会发送

原理如下:

但,因为Chrome浏览器更新了,不允许HTPPS降级为HTTP了,所以此方法无用

常见防盗链方法

防盗链一般有下面几种方式:

  1. 动态文件名,或者定期修改文件名称或路径

  2. 判定引用地址,一般是判断浏览器请求时HTTP头的Referer字段的值

  3. 使用登录验证,cookie

  4. 图片加水印

  5. ...

利用nginx

ngx_http_referer_module用于阻挡来源非法域名的请求 nginx指令valid_refers,全局变量$invalid_refer 对资源的防盗链nginx配置为

location ~.*\.(gif|jpg|png|bmp|flv|swf|rar|zip)$
{
    valid_referers none blocked test.com *.test.com;   // 加none的目的是确保浏览器可以直接访问资源
    if($invalid_referer)
    {
        #return 403;  // 直接返回403
        rewrite ^/ http://www.test.com/403.jpg; // 返回指定提示图片
    }
}

这种方法是在server或者location段中加入:valid_referers。这个指令在referer头的基础上为 $invalid_referer 变量赋值,其值为0或1。如果valid_referers列表中没有Referer头的值, $invalid_referer将被设置为1。 如果 $invalid_referer等于 1,在if语句中返回一个 403 给用户,这样用户便会看到一个 403 的页面, 如果使用下面的rewrite,那么盗链的图片都会显示 403.jpg。 该指令支持none和blocked:

  • 其中none表示空的来路,也就是直接访问,比如直接在浏览器打开一个文件

  • blocked表示被防火墙标记过的来路,*..com表示所有子域名

但是传统的防盗链也会存在一些问题,因为refer是可以伪造的, 所以可以使用加密签名的方式来解决这个问题。 什么是加密签名?就是当我们请求一个图片的时候,我要给它带一些签名过去,然后返回图片的时候我们判断下签名是否正确,相当于对一个暗号。

服务器端判断referer

我们能通过对比req.headers['referer']和req.url中的host来确认资源请求是否是别的站点发来的。 接着,当我们知道了资源请求的来源,我们就能通过一系列手段来决定是否响应请求以及怎样响应。 通常的做法是设置一个白名单,在白名单内的请求我们就响应,否则就不响应。  

let http = require("http");
let fs = require("fs");
let url = require("url");
let path = require("path");
// 白名单
const whiteList = ["localhost:8080"];

/**
 * 三种情况下允许引用图片:
 * 1. 本网站
 * 2. 无referer信息的情况。(服务器认为是从浏览器直接访问的图片URL,所以这种情况下能正常访问)
 * 3. 授权的网址。(配置白名单)
 */

http
  .createServer(function (req, res) {

    let refer = req.headers["referer"] || req.headers["refer"];
    console.log('refer----', refer, req.url);
    res.setHeader("Access-Control-Allow-Origin", "*");
    if (refer) {
      let referHostName = url.parse(refer, true).host;
      let currentHostName = url.parse(req.url, true).host;
      console.log(referHostName, currentHostName, '--==')
      // 当referer不为空, 但host未能命中目标网站且不在白名单内时, 返回错误的图
      if (
        referHostName != currentHostName &&
        whiteList.indexOf(referHostName) == -1
      ) {
        res.setHeader("Content-Type", "image/jpeg");
        fs.createReadStream(path.join(__dirname, "/src/img/403.jpg")).pipe(res);
        return;
      }
    }
    // 当referer为空时, 返回正确的图
    res.setHeader("Content-Type", "image/jpeg");
    fs.createReadStream(path.join(__dirname, "/src/img/1.jpg")).pipe(res);
    
  })
  .listen(9999);

利用http启动一个客户端:

client.js

let http = require("http");
let fs = require("fs");
let url = require("url");
let path = require("path");

// 创建服务器
http.createServer(function (req, res) {
  let staticPath = path.join(__dirname, "src");
  let pathObj = url.parse(req.url, true);

  if (pathObj.pathname === "/") {
    pathObj.pathname += "index.html";
  }
  //  读取静态目录里面的文件,然后发送出去
  let filePath = path.join(staticPath, pathObj.pathname);
  fs.readFile(filePath, "binary", function (err, content) {
    if (err) {
      res.writeHead(404, "Not Found");
      res.end("<h1>404 Not Found</h1>");
    } else {
      res.writeHead(200, "Not Found");
      res.write(content, "binary");
      res.end();
    }
  });
}).listen(8080);

index.html  

<div id="container">
    <img src="http://localhost:9999">
</div>

防止网址被 iframe

在页面底部或其它公用部位加入如下代码:

// 用js方法检测地址栏域名是不是当前网站绑定的域名,如果不是,则跳转到绑定的域名上来,这样就
不怕网站被别人iframe了
if(window!=parent) {
    window.top.location.href = window.location.href; 
}

 

戲子 鬧京城°ぃ
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
利用Referer请求头防止“盗链
bakelFF的博客
09-29 485
一、介绍 在实际开发中,经常会使用Referer头字段,例如,一些站点为了吸引人气并且提高站点访问量,提供了各种软件的下载页面,但是它们本身没有这些资源,只是将下载的超链接指向其它站点上的资源。而真正提供了下载资源的站点为了防止这种“盗链”,就需要检查请求来源,只接收本站链接发送的下载请求,阻止其它站点链接的下载请求。 二、获取头信息里的referer Referer请求头包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用Referer请求头识...
nginx利用referer指令实现防盗链配置
09-30
本文将详细介绍如何利用 Nginx 的 `referer` 指令进行防盗链配置。 `Referer` 字段在 HTTP 请求头中用于指示用户是从哪个 URL 跳转到当前请求的页面的。在图片防盗链的场景下,如果 Nginx 服务器接收到一个请求,其...
防盗链原理
我的专栏
04-19 758
 http标准协议中有专门的字段记录referer 一来可以追溯上一个入站地址是什么 二来对于资源文件,可以跟踪到包含显示他的网页地址是什么。 因此所有防盗链方法都是基于这个Referer字段 网上比较多的2种 一种是使用apache文件FileMatch限制,在httpd.conf中增加 ( 其实也可以将把下面的语句存成一个.htaccess文件),并放到你的网站的根目录(就是www/html目
Nginx配置referer报错大坑:unknown directive “valid_referers“
最新发布
哇哇哇,真的学到了!!!
06-29 288
设置有效的refer值。
盗链机制
Javaのmoon
03-19 971
盗链 JSP
防盗链原理和总结
alashan007的博客
11-01 1989
1.盗链:其他网站通过图片链接访问自己网站图片,对自己网站流量和带宽造成比较大损失。 2.防盗链原理,通过服务器重写规则,判断是否是自己网站的访问,如果不是则做相应处理 在apache服务器根目录下的.htaccess文件里写相应内容(其他服务器原理一样) 第一行 为开启重写 第二行 为匹配访问文件为图片格式 第三行 为访问的来源不是自己域名 第三行 为满足两个条件,则指向一个...
盗链
weixin_30555515的博客
08-03 246
含义 盗链是指服务提供商自己不提供服务的内容,通过技术手段绕过其它有利益的最终用户界面(如广告),直接在自己的网站上向最终用户提供其它服务提供商的服务内容,骗取最终用户的浏览和点击率。受益者不提供资源或提供很少的资源,而真正的服务提供商却得不到任何的收益。 说白了也就是利用别人网站的链接去获取别人网站里面的图片或者视频等 影响: 网站盗链会大量消耗被盗链网站的带宽,而真正的点击率也许...
php中突破基于HTTP_REFERER的防盗链措施(stream_context_create)
10-28
如果考虑突破防盗链的措施,就需要考虑在 HTTP_REFERER 上面做手脚了。很多网站是通过referer来判断是否盗链
java 防盗链详解及解决办法
08-29
java 防盗链详解及解决办法 Java 防盗链的概念 防盗链的概念是指在自己的服务器上,通过技术手段将其他网站的内容(比如一些音乐、...同时,我们也可以通过设置防盗链机制来保护自己的网站,避免受到他人的盗链攻击。
asp.net中利用ashx实现图片防盗链的原理分析
01-21
直接分析盗链原理:看下面用httpwatch截获的http发送的数据 GET /Img.ashx?img=svn_work.gif HTTP/1.1 Accept: */* Referer: //www.jb51.net/ Accept-Language: zh-cn UA-CPU: x86 Accept-Encoding: gzip, deflate ...
jsp实现防盗链的方法
10-23
首先,我们需要理解防盗链的基本原理。防盗链的核心是判断请求来源,通常我们希望只有从我们的域名下的页面发起的请求才能访问到特定资源。当用户点击链接时,浏览器会发送一个HTTP请求,这个请求中包含了一个名为...
B/S防止盗链原理
干产品的程序员
12-10 97
import java.io.IOException; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRespons...
防盗链基础
mnilz的博客
03-05 92
盗链是指将其他网站上的图片、视频或其他媒体文件,显示到自己的网页上。 这种行为通常会给被链接的网站带来额外的带宽消耗和资源浪费,而且可能侵犯了原始网站的版权。
简单的防止盗链技术的实现
老紫竹的专栏
04-04 2599
一般针对图片等,这里是最简单的代码实现  String referer = request.getHeader("referer");   if (referer == null || !referer.startsWith("http://" + request.getServerName())) ...{     return;   }关键在于,如果使用 这时,浏览器会自动把
盗链防盗链
inspjyppr的博客
11-05 559
一、明白盗链 比方说你网站(A)上有一个网站(B)想使用的图片,网站B可以直接引入你图片的链接,同时你还得为网站B加载图片付宽带费;又比方说你有一个资源,只在你网站A上使用,但是网站B眼红,就可以直接把链接拿过来,你还得为网站B加载资源付宽带费,这种就叫做盗链。 二、明白防盗链 防盗链就是使用IP白名单、网站白名单、token暗号等方式,给资源加以限制或口令、暗号等,避免其他网站使用你的资源。
Nginx配置referers防盗链(示意图+代码举例)
lifetime_gear的博客
10-17 1117
本文讲解了如何在Nginx中使用valid_referers进行防盗链,但需要注意的是,valid_referers可以被绕过,读者可自行了解更安全的方式。
网站盗链
sunshuolei的专栏
08-31 2907
1、为什么会产生盗链 在浏览网页时,一个完整的页面并不是一次全部传送到客户端的。如果请求的是一个带有许多图片和其他信息的页面,那么最先的一个http请求被传送回来的是这个页面的文本,然后客户端的浏览器对这段文本解释执行,发现其中还有图片,那么客户端的浏览器会再次发送http请求,当这个请求被处理后,请求的图片会被传送到客户端,然后浏览器会把这个图片放到正确的位置,就这样一个完整的页面也许要发送
HTTP referer说明
天马3798
04-15 3625
一、 描述 referer, 或 HTTP referer, 是HTTP表头的一个字段,用来表示从哪儿连结到目前的网页,采用的格式是URL。换句话说,借着 referer ,目前的网页可以检查访客从哪里而来,这也常被用来对付伪造的跨网站请求。 而 dereferer 则是将 referer 资讯剥离,所以网站将无法识别访客从何而来。 Referer的正确英语拼法是refe
Python【如何绕过防盗链策略】referer
weixin_59131972的博客
01-18 1553
# 反爬机制:防盗链referer # 比如你从csdn的首页点进我的这篇文章,防盗链机制运营逻辑是,你点进我的这篇前是从哪里进来的,判断请求来源哪里 # 如何躲避防盗链检测,在请求headers中添加 “Referer“:url
获取referer中的请求参数_javaweb之request获取referer请求头实现防盗链
06-09
好的,您的问题是如何获取referer中的请求参数,以及如何通过request获取referer请求头实现防盗链。 首先,referer是HTTP请求头中的一个字段,用于表示当前请求是从哪个页面发起的。如果当前请求是从某个页面跳转过来的,则referer中会包含跳转页面的URL,如果没有则为null。 如果您想要获取referer中的请求参数,可以使用Java中的URL类来解析referer中的URL,然后通过其getQuery方法获取请求参数。以下是一个简单的示例代码: ```java String referer = request.getHeader("referer"); if (referer != null) { URL url = new URL(referer); String query = url.getQuery(); // 处理请求参数 } ``` 另外,您提到了防盗链的问题。防盗链是指通过某些手段,禁止其他网站直接链接到您的资源,以保护资源的安全和版权。其中一种常见的防盗链方式就是通过判断referer请求头来实现。 具体实现方式是在服务器端判断referer请求头中的URL是否属于当前网站的域名范围内,如果不属于则返回错误信息。 以下是一个简单的示例代码: ```java String referer = request.getHeader("referer"); if (referer != null && !referer.startsWith("http://www.yourdomain.com")) { // 不允许访问 response.setStatus(403); return; } // 允许访问 ``` 注意,这种方式虽然可以简单地防止盗链,但是referer请求头是可以伪造的,因此并不是绝对可靠的防盗链方式。需要根据具体情况进行综合考虑。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

戲子 鬧京城°ぃ

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值