关于防盗链的方法之HTTP的referer检查

最新推荐文章于 2023-12-15 23:46:23 发布
最新推荐文章于 2023-12-15 23:46:23 发布
阅读量735 收藏 3
点赞数 9
文章标签: http 网络协议 网络 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_74085863/article/details/134426676
版权

HTTP Referer 是包含在 HTTP 请求头中的字段,它包含了请求的来源页面的 URL。你可以通过检查 Referer 头来确定请求资源的页面是否来自你的网站。如果 Referer 头不匹配你的网站域名,你可以拒绝提供资源

目录

源码讲解:

注意:

关于防盗链的实现啊方法还有另外两种(使用Token或签名,设置CORS),本篇只介绍referer的方法

话不多说先放源码演示:(我的html放在了/test目录下,内容只有一个图片)

const express = require('express')
const app = express()
const port = 3000
app.use((req, res, next) => {
    // 检测请求头中的referer是否为127.0.0.1
    // 获取referer
    let referer = req.get('Referer')
    let Accept = req.get('Accept')
    console.log('Accept',Accept)
    console.log('referer第一次打印',referer)
    // 第一次html请求,所以会打印一次,但是没有referer字段,所以直接next(),第二次img请求,有了referer字段,所以打印出请求路径http://127.0.0.1:3000/aaa.html再next()
    if (referer) {
    //     // 实例化
    console.log('referer第二次打印',referer)
        let url = new URL(referer)
        console.log('url',url)
        // 获取hostname
        let hostname = url.hostname
        console.log('referer第三次打印',referer)
        console.log(hostname);
        if(hostname!=='127.0.0.1'){
            res.status(404).send('<h1>404 not found</h1>')
            return
        }
    }

    next()
})
app.use(express.static(__dirname + '/test'))
app.listen(port, () => console.log(`Example app listening on port ${port}!`))

源码讲解:

首先就是声明express模块以及设置请求端口等基本结构搭建

声明两个中间件函数,一个用来设置网站资源的防盗链,底下那个用来加载静态资源中间件,我是加载我的根目录下的/test目录作为网站的根目录

我在我的第一个中间件函数定义了两个变量referer和Accpt两个变量分别用来获取请求头中的 Referer和Accept 字段的值

接着进行判断如果请求头中包含 Referer 字段,则实例化一个 URL 对象,并打印出该对象的信息,包括请求路径等。

如果请求的 hostname 不是 '127.0.0.1',则返回 404 错误页面;否则,继续执行下一个中间件

注意:

你可以在我的代码中发现有三次打印referer,但是实际终端最终会出现四次打印的referer,而其中referer第一次打印会打印两次,分别返回undefined和http://127.0.0.1:3000/网站名.html

那是因为第一次html请求,所以会打印一次,但是没有referer字段,所以直接next(),第二次img请求,有了referer字段,所以打印出请求路径http://127.0.0.1:3000/网站名.html再next()

feellikeatypo
关注
  • 9
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Referer原理与图片防盗链实现方法详解
01-02
本文实例讲述了Referer原理与图片防盗链实现方法。分享给大家供大家参考,具体如下: 1、图片防盗链 在一些大型网站中,比如百度贴吧,该站点的图片采用了防盗链的规则,以至于使用下面代码会发生错误。 简单代码: <!DOCTYPE html> <html> <head> <meta charset=utf-8> <meta http-equiv=X-UA-Compatible content=IE=edge> <title></title> <link rel=stylesheet href=> </head> <body> <!--引用一张百度贴吧的
Nginx配置referer校验,实现简单的防盗链详解
最新发布
weixin_43452467的博客
03-11 234
blocked:请求Referer字段不为空(即存在Referer),但是值被代理或者防火墙删除了,这些值不以“http://”或“https://”开,通俗点说就是允许“http://”或"https//"以外的请求。arbitrary string:任意字符串,定义服务器名称或可选的URI前缀,主机名可以使用*号开或结尾,Referer字段中的服务器端口将被忽略掉。regular expression:正则表达式,以“~”开,在“http://”或"https://"之后的文本匹配。
安全开发之CSRF(跨域请求伪造)
XZ85201的博客
05-20 1272
概念:CSRF(Cross Site Request Forgery)跨域请求伪造,顾名思义,是在跨域的基础上利用伪造请求而达成的一种攻击手段。
python3 图片referer防盗链的实现方法
12-23
本篇文章主要破解referer防盗链技术 referer防盗链技术: referer防盗链技术是服务器通过检查客户端提起的请求包内的referer字段来阻止图片下载的,如果referer字段错误,服务器会跳到另一个地址,这将导致错误的图片下载。 上面已经了解到了referer防盗链技术,下面直接上代码。 (我用的是python3,需要用到requests,html非系统包 下载方法:用python中的pip下载即可) import urllib.request import requests import time import os import shutil from lxml imp
部分网站允许空白referer的防盗链图片的js破解代码
10-28
主要是有些网站的图片调用是防盗链的但一般只是判断referer是不是自己网站,如果referer为空也会显示图片,所以有了下面的代码。
referer检测&url跳转
balance的博客
05-07 5830
一、检测referer的场景 》缓解CSRF攻击 若referer为空,或referer不属于自身域及子域,则拒绝后续操作​(更改密码、更改昵称) 》加固以jsonp方式获取信息 譬如​,链接https://passport.jd.com/loginservice.aspx?callback=jQuery8483115&method=UserInfo&_=152291428...
安全01-后台增加Referer校验防范CSRF跨站请求伪造
windows_apple的博客
12-01 3286
CSRF,中文名字,跨站请求伪造。攻击者(黑客,钓鱼网站)盗用了你的身份,以你的名义发送恶意请求,这些请求包括发送邮件、发送消息、盗取账号、购买商品、银行转账,从而使你的个人隐私泄露和财产损失。 防范方案: 1、验证HTTP Referer字段。 2、请求地址中添加token并验证(token不放在cookie中,放在http请求参数中,服务端对其进行验证) 3、将token加入http属性中,避免了token出现在浏览器中,被泄露。 Referer验证方案: 根据HTTP协议,在HTTP部中有一个Re
HTTP|header-referer
weixin_66218784的博客
03-28 549
Cookie和Session是Web中常用的两种技术,它们都用来管理用户状态。Cookie是一种在客户端保存数据的方式。它由服务器发送给客户端,并存储在客户端的浏览器上。当客户端再次请求该网站时,浏览器会自动将该网站保存的Cookie发送给服务器,从而服务器可以使用这些信息来识别和跟踪用户。Session是一种在服务器端保存数据的方式。服务器通过创建唯一的session ID(会话ID)来标识每个用户的会话信息,并将这些信息存储在服务器上。
实战-Nginx实现图片防盗链-2023.12.15(测试成功)(超详细)
weixin_39246554的博客
12-15 1391
什么是图片盗链首先我们聊聊什么是图片盗链?盗链指的是其他网站不经过你的许可直接通过链接使用你网站上的资源,从而消耗你的带宽和资源,这不仅会影响你网站的性能,还有可能会导致资源被滥用。简单来说,直接从你的网站上右键复制链接,粘贴到他自己的网站使用,实际请求的是你的服务器。今天我们就来说说nginx如何实现配置静态资源服务器及防盗链实现。一般常用的方法是在server或者location段中加入!详见下面的例子。
Referer校验
摩尔__摩尔的博客
10-24 1万+
Referer是http协议中定义的,Referer就是上一个页面的地址,这个是浏览器会在点击一个链接时自动添加到请求中的查看一个request信息:GET /adjs.php?n=348893119&what=zone:382&charset=utf-8&exclude=,&referer=http%3A//topic.csdn.net/u/20100730/16/fd41a3a3-8976-4
http referer 验证防御方法_技术干货 | CSRF攻击原理以及防御
weixin_39559333的博客
11-29 1704
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不...
FastDFS 海量小文件存储解决之道
vivo互联网技术
04-26 910
FastDFS是一个C语言实现的开源轻量级分布式文件系统
2022-09-07 请求referer拦截器防止csrf攻击
Young的博客
09-07 1734
工作中用到的对csrf攻击的简单防范方法
2.http请求Referer的作用与伪造
wjiaman
10-22 1万+
文章目录一、Referer1.作用2.空Refer二、Referer的伪造1.伪造为ip地址2.伪造为URL 一、Referer Referer是HTTP请求header中的一部分,其表示请求当前资源的客户端来源,当浏览器(或模拟浏览器行为)向web服务器发送请求的时候,部信息里会携带Referer。 例如:在 www.google.com 里有一个 www.baidu.com 超链接,当点击...
验证HTTP Referer字段
紫天专栏
06-25 1万+
1 、CSRF攻击原理 CSRF攻击原理比较简单,如图1所示。其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。   1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 3. 用户未
CSRF攻击防御---验证HTTP Referer
热门推荐
dhweicheng的博客
08-09 2万+
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,会带上Referer,通过验证Referer,可以判断请求的合法性,如果Referer是其他网站的话,就有可能是CSRF攻击,则拒绝该请求。 /** * @author Cheng.Wei * @ClassName ReferrerInterceptor * @Description CSRF攻击处理
Nginx配置referer校验,实现简单的防盗链
打杂员工的博客
11-05 1万+
1、Nginx Referer模块 nginx模块ngx_http_referer_module通常用于阻挡来源非法的域名请求。当一个请求Referer字段中包含一些非正确的字段,这个模块可以禁止这个请求访问站点。构造Referer的请求很容易实现,所以使用这个模块并不能100%的阻止这些请求。 2、valid_referers 指令 语法: valid_referers none | blocked | server_names | string … ; 配置段: server, locati
校验Referer,防范CSRF(跨站请求伪造)攻击的拦截器
weixin_30251587的博客
10-19 1903
publicfinalstaticStringdomainName="192.168.2.123"; Java代码 packagecom.web.interceptors; importorg.apache.log4j.Logger; importorg.apache.struts2.ServletAc...
获取referer中的请求参数_javaweb之request获取referer请求实现防盗链
06-02
您可以使用JavaWeb中的HttpServletRequest对象的getHeader方法来获取referer请求,然后再从中提取请求参数。以下是一个示例代码: ``` String referer = request.getHeader("referer"); if (referer != null && referer.contains("?")) { String query = referer.substring(referer.indexOf("?") + 1); String[] params = query.split("&"); for (String param : params) { String[] keyValue = param.split("="); String key = keyValue[0]; String value = keyValue[1]; // 处理参数 } } ``` 此代码首先获取referer请求,然后检查是否包含请求参数(使用“?”分隔)。如果有,它会从查询字符串中提取参数并将其拆分为键值对。然后,您可以按照需要处理这些参数。此代码还应该考虑到一些安全问题,例如检查referer是否来自您的网站。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值