跳到主要内容

传说中图片防盗链的爱恨情仇

· 阅读需 7 分钟

原理

注:这里有个很有趣的就是 Referrer 和 Referer 的故事了感兴趣的自行去了解以下

我们先来了解了解防盗链的原理,在http 协议中,

如果从一个页面跳到另一个页面,header字段里面会带个 Referer。图片服务器通过检测 Referer 是否来自规定域名,来进行防盗链。如果盗用网站是 https 的 协议,而图片链接是 http 的话,则从 https 向 http 发起的请求会因为安全性的规定,而不带 referer,从而实现防盗链的绕过。官方输出图片的时候,判断了来源(Referer),就是从哪个网站访问这个图片,如果是你的网站去加载这个图片,那么Referer就是:你的网站地址;你的网址肯定没在官方的白名单内,(当然作为可操作性极强的浏览器来说referer是完全可以伪造一个官方的URL这样也也就也可以饶过限制????)所以就看不到图片了。 因此,若不发送Referer,也就是没有来源。那么官方那边,就认为是从浏览器直接访问的,所以就能加载正常的图片了。

目的

盗链是指在自己的页面上展示一些并不在自己服务器上的内容。通常的做法是通过技术手段获得它人服务器上的资源地址,绕过别人的资源展示页面,直接在自己的页面上向最终用户提供此内容。比较常见的是一些小站盗用大站的资源(图片、音乐、视频),对于这些小站来说,通过盗链的方法可以减轻自己服务器的负担,因为真实的空间和流量均是来自别人的服务器。对大站造成的影响确实徒徒增加了服务器压力,用户还不是自己的。。。 防盗链就是防止这种行为的产生,实施防盗链系统后,因为屏蔽了那些盗链的间接资源请求,从而可以大大减轻服务器及带宽的压力,也正如此,越来越多的站点都开始实施防盗链技术。

实现

> nginx

location ~* \.(gif|jpg|png|bmp)$ {    
    valid_referers none blocked *.ttlsa.com server_names ~\.google\. ~\.baidu\.;    
    if ($invalid_referer) {        
        return 403;        
        #rewrite ^/ http://www.xxx.com/403.jpg;    
    }
}

以上所有来至xxx.com和域名中包含google和baidu的站点都可以访问到当前站点的图片,如果来源域名(白名单列表)不在这个列表中。 那么$invalid_referer等于1,在if语句中返回一个403给用户,这样用户便会看到一个403的页面,如果使用下面的rewrite,那么盗链的图片都会显示403.jpg。 > apache 在根目录下创建.htaccess 文件

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$ [NC]
RewriteCond %{HTTP_REFERER} !phpddt.com [NC]
RewriteCond %{HTTP_REFERER} !google.com [NC]
RewriteCond %{HTTP_REFERER} !baidu.com.com [NC]
RewriteCond %{HTTP_REFERER} !feedburner.com [NC]
RewriteCond %{HTTP_REFERER} !feedsky.com [NC]
RewriteRule .*\.(rar|zip)$ http://www.xxx.com/ [R,NC,L]

这段话也可写在Apache配置文件当中 .htaccess文件将影响其所在的目录及其子目录。你可以将其放在根目录或项目的子目录 上面这段代码也是很容易理解的: RewriteCond %{HTTP_REFERER} !^$ [NC] 允许空的来源,即用户浏览器手动属于则允许访问文件。 RewriteCond %{HTTP_REFERER} !phpddt.com [NC] 允许站点自身访问,同理,后面还要允许百度,谷歌,和一些订阅源访问。 RewriteRule .\.(rar|zip)$ http://www.xxx.com/ [R,NC,L] 这里可以设置防止盗链的类型,如果盗链可以跳转到网站首页,本站没有做图片防盗链,如果你做图片防盗链可以设置被盗链的替代图片: RewriteRule .\.(gif|jpg|png)$ http://xxx.com/logo.png [R,NC,L]

破解

????道高一尺魔高一丈既然知道原理那么就来看看一些常用的破解方案如果你有更好的记得给我留言。 >1. 如果盗用图片资源是http协议那么盗用网址可以使用https去请求会因为安全性的规定,而不带 referer,从而实现防盗链的绕过。 >2. 在HTML代码的head中添加一句 <meta name="referrer" content="no-referrer" /> >3.

function showImg( url ) {
        var frameid = 'frameimg' + Math.random();
        window.img = '<img id="img" src=\''+url+'?'+Math.random()+'\' />
        <script>window.onload = function() { parent.document.getElementById
        (\''+frameid+'\').height = document.getElementById(\'img\').height
        +\'px\'; }<'+'/script>';
        document.write('<iframe id="'+frameid+'" src="javascript:parent.img;
        " frameBorder="0" scrolling="no" width="100%"></iframe>');
}

6. 前面也提到来可以服务端伪造请求头具体不同的语言自行搜索对应方案,这里就不一一列举了。

反破解

既然有破解就当然有常用的防御机制???? 1、不允许referer为空(不建议,因在某些开启隐私模式的浏览器中,或https页面引用下,referer是空的) 2、地址变更(lighttpd的是根据有效时间,nginx的根据是md5,IP地址变化) 3、登录校验(如必须登录网站帐号后才能访问) 以下是防止网站被镜像,被iframe 1.防止网站被镜像(被恶意解析和转发等) 现象:他人域名访问到的是我的网站解析的ip地址我的 解决方法: http.ini里可以这样写

<script type=”text/javascript> 
   if(window!=parent) 
  window.top.location.href = window.location.href; 
< /script>

代码的意思也很简单,用js方法检测地址栏域名是不是当前网站绑定的域名,如果不是,则跳转到绑定的域名上来,这样就不怕网站被别人iframe了。