Java实现图片防盗链功能

已于 2024-05-07 10:43:15 修改
阅读量227 收藏 2
点赞数 2
文章标签: java spring boot 图片防盗链
于 2024-05-07 10:38:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyangrensheng/article/details/138522502
版权

# 前言:

出于安全考虑,我们需要后端返回的图片只允许在某个网站内展示,不想被爬虫拿到图片地址后被下载。或者,不想浏览器直接访问图片链接。

出于性能考虑,不想要别人的网站,拿着我们的图片链接去展示,白白消耗自己的服务器资源。

故而可在springboot中,使用简单的图片防盗链规则。拦截掉一些处理。

# 代码实现(简易版,代码写死配置)

1.创建拦截器类

import org.springframework.web.servlet.HandlerInterceptor;import org.springframework.web.servlet.ModelAndView;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;public class ImageProtectionInterceptor implements HandlerInterceptor {    private static final String ALLOWED_DOMAIN = "baidudu.com"; // 允许的域名    @Override    public boolean preHandle(HttpServletRequest request, HttpServletResponse 
        response, Object handler) throws Exception {        // 获取请求的 URL        String requestUrl = request.getRequestURL().toString();        // 判断请求是否以图片后缀结尾        if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || 
            requestUrl.endsWith(".jpeg")) {            // 获取请求的来源域名            String referer = request.getHeader("Referer");            // 检查来源域名是否符合预期            if (referer != null && referer.contains(ALLOWED_DOMAIN)) {                return true; // 符合防盗链要求,放行请求     
             } else {
             // 返回 403 Forbidden
             response.sendError(HttpServletResponse.SC_FORBIDDEN);    
             return false; // 拦截请求            }        }        return true; // 对非图片资源请求放行
      }
   }

2.注册拦截器

import org.springframework.context.annotation.Configuration;import org.springframework.web.servlet.config.annotation.InterceptorRegistry;import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configurationpublic class WebConfig implements WebMvcConfigurer {    @Override    public void addInterceptors(InterceptorRegistry registry) {        // 注册拦截器,拦截所有请求        registry.addInterceptor(new ImageProtectionInterceptor())                .addPathPatterns("/**"); // 拦截所有请求    }}

# 代码实现(灵活配置)

1. 在 application.yml 中配置信息

# 图片防盗链配置img-protect:  # 图片防盗链保护开关  enabled: true  # 是否允许浏览器直接访问  allowBrowser: false  # 图片防盗链白名单,多个用逗号分隔【不填则所有网站都拦截】  allowReferer: baidudu.com

2. 创建配置文件映射类

import org.springframework.boot.context.properties.ConfigurationProperties;import org.springframework.stereotype.Component;@Component
@ConfigurationProperties("img-protect")
@Data
public class ImgProtectConfig {  

    private boolean enabled;    private boolean allowBrowser;    private String allowReferer;}

3.创建拦截器类

import 上方2-2创建的类路径.ImgProtectConfig;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.stereotype.Component;import org.springframework.web.servlet.HandlerInterceptor;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import java.util.Arrays;import java.util.HashSet;import java.util.Set;@Componentpublic class ImageProtectionInterceptor implements HandlerInterceptor {    @Autowired    private ImgProtectConfig imgProtectConfig;    @Override    public boolean preHandle(HttpServletRequest request, HttpServletResponse 
      response, Object handler) throws Exception {        // 判断是否开启图片防盗链功能        if (!imgProtectConfig.getEnabled()){            return true;        }        // 获取请求的 URL        String requestUrl = request.getRequestURL().toString();        // 判断请求是否以图片后缀结尾        if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || 
           requestUrl.endsWith(".jpeg")) {            // 获取请求的来源域名            String referer = request.getHeader("Referer");            // 检查来源域名是否符合预期,referer 为 null 则说明是浏览器直接访问。            if (referer == null && imgProtectConfig.getAllowBrowser()){                return true; // 符合防盗链要求,放行请求            }else if (referer != null && isAllowedDomain(referer)) {                return true; // 符合防盗链要求,放行请求            } else {                response.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回 403 Forbidden                return false; // 拦截请求            }        }        return true; // 对非图片资源请求放行    }    // 检查是否来自允许的域名    private boolean isAllowedDomain(String referer) {        // 获取允许的域名        String allowedReferers = imgProtectConfig.getAllowReferer();        // 如果允许的域名不为空        if (allowedReferers.trim() != null && !"".equals(allowedReferers.trim())) {            // 将允许的域名分割成字符串数组            Set<String> allowedDomains = new HashSet<>(Arrays.asList(allowedReferers.split(",")));            // 遍历允许的域名            for (String allowedDomain : allowedDomains) {                // 如果请求的域名包含允许的域名,则返回true                if (referer.contains(allowedDomain.trim())) {                    return true;                }
              }
          }        // 否则返回false        return false;    }}

4.注册拦截器​​​​​​​

import org.springframework.context.annotation.Configuration;import org.springframework.web.servlet.config.annotation.InterceptorRegistry;import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configurationpublic class WebConfig implements WebMvcConfigurer {// 不能再使用 new 方式创建对象 !!! @Autowired    private ImageProtectionInterceptor imageProtectionInterceptor;    @Override    public void addInterceptors(InterceptorRegistry registry) {        // 注册拦截器,拦截所有请求        registry.addInterceptor(imageProtectionInterceptor)                .addPathPatterns("/**"); // 拦截所有请求    }}

# 注意:

以上防盗链拦截器基本实现可以对付一般情况下的图片盗链,但并不能保证绝对安全。

可能出现以下等情况:

Referer 伪造:恶意客户端可以伪造 referer 头。攻击者可以伪造有效的 referer 来绕过保护。

漏报:攻击者可能找到绕过 referer 检查的方法(例如使用 data URI 或 base64 编码的图片)。

误报:合法用户可能因为 referer 不匹配而被阻止(例如隐私浏览器或代理服务器)。

反向代理:攻击者可以在url路径中,添加域名白名单作为反向代理路径,绕开代码的contains方法检查。

雁凡彡
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全】前端程序员务必掌握的图片防盗
qq_42281321的博客
07-04 4581
在 协议请求中 里会带个 字段。通过图片服务器检查 是否来自规定的域名(白名单),而进行防盗链。 在浏览器中输入防盗图片地址是能直接访问的。可以通过 nginx 配置白名单列表,不在白名单则返回 403 或者相应的处理(重定向到显示403的图片,等操作) 以上所有来自 *.andyhu.com 域名和域名中包含 google 和 baidu 的站点都可以访问当前站点的文件资源。其他来源域(不在白名单列表)名访问则返回 。如果被注释的 则返回一张 的图片顺这浏览器能直接访问防盗图片的思路,不难
java防盗链在报表中的应用实例(推荐)
09-01
下面小编就为大家带来一篇java防盗链在报表中的应用实例(推荐)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
其实,图片防盗链的实现如此简单
admin_2022的博客
05-12 861
其实,图片防盗链的实现如此简单
java实现防盗链_防盗链代码实现
weixin_42353186的博客
02-13 500
[java]代码库package pm_cn.itcast.request;import java.io.IOException;import javax.servlet.ServletException;import javax.servlet.http.HttpServlet;import javax.servlet.http.HttpServletRequest;import javax.s...
Java爬虫小例子,爬取小网站,突破防盗链下载图片
02-02
通过Java爬虫,爬取网站内容(图片以及信息)并记录,在需要的时候可以下载,并且突破网站的防盗
springboot实现图片防盗功能
最新发布
北海_南风
04-22 441
出于安全考虑,我们需要后端返回的图片只允许在某个网站内展示,不想被爬虫拿到图片地址后被下载。或者,不想浏览器直接访问图片链接。出于性能考虑,不想要别人的网站,拿着我们的图片链接去展示,白白消耗自己的服务器资源。故而可在springboot中,使用简单的图片防盗链规则。拦截掉一些处理。
图片防盗链 - 知识扫盲
宋坚强大大~~
04-11 577
自己服务器上的图片,只想被自己信任的网站加载展示,其他域名禁止访问即可以通过图片防盗链做到。
java防盗
开心的专栏
03-07 2774
一.防盗链的概念 内容不在自己的服务器上,通过技术手段将其他网站的内容(比如一些音乐、图片、软件的下载地址)放置在自己的网站中,通过这种方法盗取其他网站的空间和流量。 二.防盗链的产生 一般情况下,http请求时,一个完整的页面并不是一次全部传送到客户端的。如果请求的是一个带有许多图片和其它信息的页面,那么最先的一个Http请求被传送回来的是这个页面的文本,然后通过客户端的浏览器对这段文本的
jsp实现防盗链的方法
10-23
JSP(JavaServer Pages)作为流行的动态网页技术,提供了实现防盗功能的手段。下面我们将详细探讨如何使用JSP实现防盗链。 首先,我们需要理解防盗链的基本原理。防盗链的核心是判断请求来源,通常我们希望只有从...
Java简单实现图片上传与下载
01-30
本文将详细讲解如何使用Java实现这一功能,并结合ckeditor4这个流行的富文本编辑器,来构建后端图片上传接口。 首先,我们需要一个运行环境,这里使用Spring Boot框架,它为创建高性能、轻量级的Java应用程序提供了...
java防盗链代码和jar
01-10
首先,我们来看看如何在Java实现防盗功能。核心思路是检查请求的来源,判断是否来自合法的源。一种常见的方式是检查`Referer`头,这是浏览器在发送HTTP请求时附带的上一个页面的URL。如果`Referer`指向的不是...
防盗链filter
02-22
"防盗链filter"是一种常见的Java技术,用于防止网站的资源(如图片、视频、音频等)被其他未经授权的网站非法引用,即“盗链”。本篇文章将深入探讨Java防盗链filter的工作原理、实现方式以及其在实际应用中的重要性...
HTTP请求头referer,防盗链的问题
只会div的博客
02-14 2487
排查发现,第三方链接使用的是 阿里云对象存储OSS(AliyunOSS),在 OSS 控制台开启了 Referer防盗链。 前端在跳转链接时,默认会在被访问的链接请求头上添加 Referer 头。如下图。 由于前端项目的域名没有在 第三方 Referer防盗链 的白名单中,所以在访问时,会抛出错误 `AccessDenied, You are denied by bucket referer policy`.。
java 盗链_javaWeb防止恶意登陆或防盗链的使用
weixin_33892912的博客
02-15 395
使用场景:明明引用了一个正确的图片地址,但显示出来的却是一个红叉或写有“此图片仅限于***网站用户交流沟通使用”之类的“假图片”。用嗅探软件找到了多媒体资源的真实地址用下载软件仍然不能下载。下载一些资源时总是出错,如果确认地址没错的话,大多数情况都是遇上防盗链系统了。常见的防盗链系统,一般使用在图片、音视频、软件等相关的资源上。实现原理:把当前请求的主机与服务器的主机进行比对,如果不一样则就是恶意...
前端解决防盗
执 。
04-20 2256
防盗链浅谈 由于利用百度新闻请求接口,导致部分图片请求失败,状态码403,服务被拒绝。 之前一直用python写爬虫,所以很自然的就想到了伪装请求头。 于是乎想到解决该问题的第一种方法就是创建vue.config.js 在里面配置代理 现在是学前端,当然也要了解些前端解决的办法有哪些: 1. 在meta标签里使用 html5 <meta name="referrer" content...
实战-Nginx实现图片防盗链-2023.12.15(测试成功)(超详细)
weixin_39246554的博客
12-15 1862
什么是图片盗链首先我们聊聊什么是图片盗链?盗链指的是其他网站不经过你的许可直接通过链接使用你网站上的资源,从而消耗你的带宽和资源,这不仅会影响你网站的性能,还有可能会导致资源被滥用。简单来说,直接从你的网站上右键复制链接,粘贴到他自己的网站使用,实际请求的是你的服务器。今天我们就来说说nginx如何实现配置静态资源服务器及防盗实现。一般常用的方法是在server或者location段中加入!详见下面的例子。
java#解决采集文章防盗图片不显示问题
myshare2022的专栏
11-20 527
在互联网上采集数据做应用时,我们经常会遇到目标完整图片防盗链,导致采集文章中的图片在应用中无法显示
前端后端实现防盗
weixin_45626288的博客
04-25 1462
防盗链(Referer Header)是指在网页中嵌入的外部资源(如图片、音视频等)被非法使用或盗链的现象。为了避免这种情况的发生,我们可以通过前端和后端技术来防止盗链。
java实现防盗链】
05-19
防盗链是指在网站上设置一些限制条件,只有满足这些条件的请求才能访问资源。在Java实现防盗链的方法如下: 1. 获取请求头信息,判断Referer字段是否合法,如果不合法则直接返回错误信息或者跳转到其他页面。 2. 在web.xml中配置过滤器,对请求进行过滤,只有通过过滤器的请求才能访问资源。过滤器可以使用Java EE提供的Filter接口或者Spring框架提供的HandlerInterceptor接口。 3. 在服务器端生成一个动态的URL地址,每次请求资源时,将动态URL地址作为参数传递,服务器端判断动态URL地址是否合法,如果合法则返回资源,否则返回错误信息。 示例代码: 1. 获取请求头信息的方法: ```java String referer = request.getHeader("Referer"); if (referer == null || !referer.startsWith("http://www.example.com")) { response.getWriter().write("Access denied"); return; } ``` 2. 配置过滤器的方法: 在web.xml中添加如下代码: ```xml <filter> <filter-name>anti-leech-filter</filter-name> <filter-class>com.example.AntiLeechFilter</filter-class> </filter> <filter-mapping> <filter-name>anti-leech-filter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> ``` 创建AntiLeechFilter类,并实现Filter接口: ```java public class AntiLeechFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException { // 初始化操作 } @Override public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException { HttpServletRequest request = (HttpServletRequest) servletRequest; String referer = request.getHeader("Referer"); if (referer == null || !referer.startsWith("http://www.example.com")) { HttpServletResponse response = (HttpServletResponse) servletResponse; response.sendRedirect("/access_denied.html"); return; } filterChain.doFilter(servletRequest, servletResponse); } @Override public void destroy() { // 销毁操作 } } ``` 3. 动态URL地址的实现方法: 在服务器端生成一个动态URL地址,如: ```java String url = "/download?file=" + URLEncoder.encode(filename, "UTF-8") + "&token=" + generateToken(); ``` 其中,generateToken()方法根据一定规则生成一个token值,每次请求时将token值作为参数传递,服务器端根据token值判断是否合法,如: ```java String token = request.getParameter("token"); if (isValidToken(token)) { // 返回资源 } else { response.getWriter().write("Access denied"); return; } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值