一、原理
要实现防盗链,我们就必须先理解盗链的实现原理,提到防盗链的实现原理就不得不从HTTP协议说起,在HTTP协议中,有一个表头字段叫referer,采用URL的格式来表示从哪儿链接到当前的网页或文件。换句话说,通过referer,网站可以检测目标网页访问的来源网页,如果是资源文件,则可以跟踪到显示它的网页地址。有了referer跟踪来源就好办了,这时就可以通过技术手段来进行处理,一旦检测到来源不是本站即进行阻止或者返回指定的页面。如果想对自己的网站进行防盗链保护,则需要针对不同的情况进行区别对待。
如果网站服务器用的是apache,那么使用apache自带的Url Rewrite功能可以很轻松地防止各种盗链,其原理也是检查refer,如果refer的信息来自其他网站则重定向到指定图片或网页上。
如果服务器使用的是IIS的话,则需要通过第三方插件来实现防盗链功能了,现在比较常用的一款产品叫做ISAPI_Rewrite,可以实现类似于apache的防盗链功能。另外对于论坛来说还可以使用“登录验证”的方法进行防盗链。
二、实现防盗链
现在让我们在ASP.NET Core中实现防盗链技术来保护我们的应用程序和站点文件。这就要通过ASP.NET Core中的中间件技术,监听并处理所有传入的请求,检查这些请求是不是来自我们的应用程序。
让我们来创建这个防盗链的中间件程序:
public class HotlinkingPreventionMiddleware { private readonly string _wwwrootFolder; private readonly RequestDelegate _next; public HotlinkingPreventionMiddleware(RequestDelegate next, IHostingEnvironment env) { _wwwrootFolder = envWebRootPath; _next = next; } public async Task Invoke(HttpContext context) { var applicationUrl = $"{contextRequestScheme}://{contextRequestHostValue}"; var headersDictionary = contextRequestHeaders; var urlReferrer = headersDictionary[HeaderNamesReferer]ToString(); if(!stringIsNullOrEmpty(urlReferrer) && !urlReferrerStartsWith(applicationUrl)) { var unauthorizedImagePath = PathCombine(_wwwrootFolder,"Images/Unauthorizedpng"); await contextResponseSendFileAsync(unauthorizedImagePath); } await _next(context); } }
在这个中间件中我们可以看到ASP.NET Core中的Request对象并没有对Referrer进行封装,想获取Referrer,就要通过HTTP头信息(Headers)进行访问。
一般都要有一个IApplicationBuilder扩展:
public static class BuilderExtensions { public static IApplicationBuilder UseHotlinkingPreventionMiddleware(this IApplicationBuilder app) { return appUseMiddleware(); } }
最后,使用它只需要在Configure函数中调用,上面的扩展函数。
app.UseHotlinkingPreventionMiddleware();
三、真能防?
如何突破防盗链?针对检查refer的方式,可以在页面中间件里面先进入目的地址的另外一个页面在转到目的页面即可,这样页面的refer就是目的站点自己的,如此,即做到突破。这方面可以使用的工具很多,尤其是成熟的web项目测试包,如HtmlUnit,直接在请求中设置refer都是可以的。
如果盗用网站是 https 的 protocol,而图片链接是 http 的话,则从 https 向 http 发起的请求会因为安全性的规定,而不带 referer,从而实现防盗链的绕过。
最后,我只能说这种方式,只能在一定程度上进行防御,不可能杜绝所有的攻击,还是建议使用成熟服务器应用的方案,比如Nginx。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持小牛知识库。
本文向大家介绍Apache服务器下防止图片盗链的办法,包括了Apache服务器下防止图片盗链的办法的使用技巧和注意事项,需要的朋友参考一下 先解释一下图片防盗链和转向: 图片防盗链有什么用? 防止其它网站盗用你的图片,浪费你宝贵的流量。 图片转向有什么用? 如果你的网站以图片为主,哪天发现月底没到流量就快用光了,那就可以利用图片转向,在不修改网页的前提下,把图片下载请求转向到其它空
本文向大家介绍php实现博客,论坛图片防盗链的方法,包括了php实现博客,论坛图片防盗链的方法的使用技巧和注意事项,需要的朋友参考一下 本文实例讲述了php实现博客,论坛图片防盗链的方法。分享给大家供大家参考,具体如下: 防盗链的方式很多,我这里就说说我对放盗链的理解,这个跟防止远程提交是一个原理。 先介绍一个函数 如果你还不放心,你可以给这个函输出的字符串再用SHA1()函数进行加密。 这样我们
location ~* \.(gif|jpg|png|swf|flv)$ { root html valid_referers none blocked *.uncwd.com; if ($invalid_referer) { rewrite ^/ www.wenjiangs.com #return 404; } } 前面的root可以不要如果你在se
本文向大家介绍PHP防盗链代码实例,包括了PHP防盗链代码实例的使用技巧和注意事项,需要的朋友参考一下 防盗链是目前非常常见的web程序设计技巧。本文就以一个实例展示了PHP防盗链的实现方法。分享给大家供大家参考之用。具体方法如下: 主要功能代码如下: 希望本文所述对大家学习PHP程序设计有所帮助。
本文向大家介绍php实现的网络相册图片防盗链完美破解方法,包括了php实现的网络相册图片防盗链完美破解方法的使用技巧和注意事项,需要的朋友参考一下 本文实例讲述了php实现的网络相册图片防盗链完美破解方法。分享给大家供大家参考。具体如下: 网络相册图片防盗链破解程序 - PHP版 这个防盗链破解版可以完美破解当下比较流行的: 百度相册,网易相册,360我喜欢等网站图片. 还可以实现简单的图片防盗链
本文向大家介绍简单解决微信文章图片防盗链问题,包括了简单解决微信文章图片防盗链问题的使用技巧和注意事项,需要的朋友参考一下 微信对外提供了API接口,让我们可以通过授权的方式获取到自己公众号里面的文章,或者你也可以通过爬虫去抓取微信的文章,但是微信的图片默认是不允许外部调用的 这里我找到了两种方案 第一种 在JS中提前把图片加载到本地,然后从本地缓存中读取图片 第二种 用PHP模拟浏览器请求 两种