安基网 首页 系统 Web技术 查看内容

传说中图片防盗链的爱恨情仇

2019-4-20 10:23| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 我们先来了解了解防盗链的原理,在 http 协议中,如果从一个页面跳到另一个页面,header字段里面会带个 Referer。图片服务器通过检测 Referer 是否来自规定域名,来进行防盗链。

原理

注:这里有个很有趣的就是 Referrer 和 Referer 的故事了感兴趣的自行去了解下

我们先来了解了解防盗链的原理,在 http 协议中,如果从一个页面跳到另一个页面,header字段里面会带个 Referer。图片服务器通过检测 Referer 是否来自规定域名,来进行防盗链。

如果盗用网站是 https 的 协议,而图片链接是 http 的话,则从 https 向 http 发起的请求会因为安全性的规定,而不带 referer,从而实现防盗链的绕过。官方输出图片的时候,判断了来源(Referer),就是从哪个网站访问这个图片,如果是你的网站去加载这个图片,那么 Referer 就是:你的网站地址;你的网址肯定没在官方的白名单内,(当然作为可操作性极强的浏览器来说 referer 是完全可以伪造一个官方的 URL 这样也也就也可以饶过限制🚫)所以就看不到图片了。

因此,若不发送 Referer,也就是没有来源。那么官方那边,就认为是从浏览器直接访问的,所以就能加载正常的图片了。

目的

盗链是指在自己的页面上展示一些并不在自己服务器上的内容。通常的做法是通过技术手段获得它人服务器上的资源地址,绕过别人的资源展示页面,直接在自己的页面上向最终用户提供此内容。比较常见的是一些小站盗用大站的资源(图片、音乐、视频),对于这些小站来说,通过盗链的方法可以减轻自己服务器的负担,因为真实的空间和流量均是来自别人的服务器。对大站造成的影响确实徒徒增加了服务器压力,用户还不是自己的😅

于是乎防盗链就是防止这种行为的产生,实施防盗链系统后,因为屏蔽了那些盗链的间接资源请求,从而可以大大减轻服务器及带宽的压力,也正如此,越来越多的站点都开始实施防盗链技术。


实现

nginx
location ~* \.(gif|jpg|png|bmp)$ {    
    valid_referers none blocked *.ttlsa.com server_names ~\.google\. ~\.baidu\.;    
    if ($invalid_referer) {        
        return 403;        
        #rewrite ^/ http://www.xxx.com/403.jpg;    
    }
}复制代码

以上所有来至xxx.com和域名中包含googlebaidu的站点都可以访问到当前站点的图片,如果来源域名(白名单列表)不在这个列表中。

那么$invalid_referer等于 1,在if语句中返回一个 403 给用户,这样用户便会看到一个 403 的页面,如果使用下面的rewrite,那么盗链的图片都会显示 403.jpg。

apache

在根目录下创建.htaccess 文件


RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$ [NC]
RewriteCond %{HTTP_REFERER} !phpddt.com [NC]
RewriteCond %{HTTP_REFERER} !google.com [NC]
RewriteCond %{HTTP_REFERER} !baidu.com.com [NC]
RewriteCond %{HTTP_REFERER} !feedburner.com [NC]
RewriteCond %{HTTP_REFERER} !feedsky.com [NC]
RewriteRule .*\.(rar|zip)$ http://www.xxx.com/ [R,NC,L]复制代码


这段话也可写在Apache配置文件当中

.htaccess文件将影响其所在的目录及其子目录。你可以将其放在根目录或项目的子目录

上面这段代码也是很容易理解的:

RewriteCond %{HTTP_REFERER} !^$ [NC]复制代码

允许空的来源,即用户浏览器手动属于则允许访问文件。

RewriteCond %{HTTP_REFERER} !phpddt.com [NC]复制代码

允许站点自身访问,同理,后面还要允许百度,谷歌,和一些订阅源访问。

RewriteRule .*\.(rar|zip)$ http://www.xxx.com/ [R,NC,L]复制代码

这里可以设置防止盗链的类型,如果盗链可以跳转到网站首页,本站没有做图片防盗链,如果你做图片防盗链可以设置被盗链的替代图片:

RewriteRule .*\.(gif|jpg|png)$ http://xxx.com/logo.png [R,NC,L]复制代码

破解

😄道高一尺魔高一丈既然知道原理那么就来看看一些常用的破解方案如果你有更好的记得给我留言。

1.  如果盗用图片资源是http协议那么盗用网址可以使用 https 去请求会因为安全性的规定,而不带 referer,从而实现防盗链的绕过。


2. 在 HTML 代码的 head 中添加一句

3.  

4. https://images.weserv.nl/?url=`${你的图片地址}`

因为网址是国外的速度有点慢效果还行,目的就是返回一个不受限制的图片,但是 GIF 格式会返回jpg也就是没有了动画效果。

5. 利用iframe伪造请求referer

function showImg( url ) {
        var frameid = 'frameimg' + Math.random();
        window.img = ''+url+'?'+Math.random()+'\' />
        

Tag标签: 内容

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://juejin.im/post/5cb6eaf951882532a376875e

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人
1

路过

鸡蛋

刚表态过的朋友 (1 人)

相关阅读

最新评论

 最新
返回顶部