防盗链的基本原理与实现

2024-09-08 14:32

本文主要是介绍防盗链的基本原理与实现,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

  1. 我的实现防盗链的做法,也是参考该位前辈的文章。基本原理就是就是一句话:通过判断request请求头的refer是否来源于本站。(当然请求头是来自于客户端的,是可伪造的,暂不在本文讨论范围内)。
  2. 首先我们去了解下什么是HTTP Referer。简言之,HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站。(注:该文所有用的站点均假设以 http://blog.csdn.net为例)
    假如我们要访问资源:http://blog.csdn.net/Beacher_Ma 有两种情况:
    1. 我们直接在浏览器上输入该网址。那么该请求的HTTP Referer 就为null
    2. 如果我们在其他其他页面中,通过点击,如 http://www.csdn.net 上有一个 http://blog.csdn.net/Beacher_Ma 这样的链接,那么该请求的HTTP Referer 就为http://www.csdn.net
  3. 知道上述原理后,我们可以用Filter去实现这个防盗链功能。网上的做法多是用列举的方式去做的,而我这里是用正则去做,相对比较灵活点,另外,我效仿了Spring的filter做法,加了个shouldBeFilter的方法,考虑到,比如假如你要拦截*.Action的一部分方法,而不是全部时,我们就可以先看看请求的URL是否shouldBeFilter,如果不是的话,那么就直接放行,在效率上有所提高。废话不说,直接上代码吧。
//防盗链filter
public class PreventLinkFilter implements Filter {private static Logger logger = LoggerFactory.getLogger(PreventLinkFilter.class);// 限制访问地址列表正则private static List<Pattern> urlLimit = new ArrayList<Pattern>();// 允许访问列表private static List<String> urlAllow = new ArrayList<String>();// 错误地址列表private static String urlError = "";// 必须过Filter的请求protected boolean shouldBeFilter(HttpServletRequest request)throws ServletException {String path = request.getServletPath();for (int i = 0; i < urlLimit.size(); i++) {Matcher m = urlLimit.get(i).matcher(path);if (m.matches()) {logger.debug("当前的Path为{}" + path + "必须进行过滤");return true;}}return false;}public void destroy() {// TODO Auto-generated method stub}public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException {HttpServletRequest httpRequest = (HttpServletRequest) request;HttpServletResponse httpResponse = (HttpServletResponse) response;if (null == httpRequest || null == httpResponse) {return;}// 放行不符合拦截正则的Pathif (!shouldBeFilter(httpRequest)) {chain.doFilter(request, response);return;}String requestHeader = httpRequest.getHeader("referer");if (null == requestHeader) {httpResponse.sendRedirect(urlError);return;}for (int i = 0; i < urlAllow.size(); i++) {if (requestHeader.startsWith(urlAllow.get(i))) {chain.doFilter(httpRequest, httpResponse);return;}}httpResponse.sendRedirect(urlError);return;}public void init(FilterConfig fc) throws ServletException {logger.debug("防盗链配置开始...");String filename;try {filename = fc.getServletContext().getRealPath("/WEB-INF/classes/preventLink.properties");File f = new File(filename);InputStream is = new FileInputStream(f);Properties pp = new Properties();pp.load(is);// 限制访问的地址正则String limit = pp.getProperty("url.limit");// 解析字符串,变成正则,放在urlLimit列表中parseRegx(limit);// 不受限的请求头String allow = pp.getProperty("url.allow");// 将所有允许访问的请求头放在urlAllow列表中urlAllow = parseStr(urlAllow, allow);urlError = pp.getProperty("url.error");} catch (Exception e) {e.printStackTrace();}}private void parseRegx(String str) {if (null != str) {String[] spl = str.split(",");if (null != spl) {for (int i = 0; i < spl.length; i++) {Pattern p = Pattern.compile(spl[i].trim());urlLimit.add(p);}}}}private List<String> parseStr(List<String> li, String str) {if (null == str || str.trim().equals("")) {return null;}String[] spl = str.split(",");if (null != spl && spl.length > 0) {li = Arrays.asList(spl);}return li;}
}

文件/WEB-INF/classes/preventLink.properties
用于限制的url正则,用逗号分隔多个(在这里我拦截了诸如
/csdn/index!beacher_Ma.action,/csdn/index!beacher_Ma.action?adsfdf)
url.limit=/.+/index/!.+//.action.*,/index/!.+.action?.+
这里是Http Refer是否以指定前缀开始,前两个是本地调试用的。。
url.allow=http://127.0.0.1,http://localhost,http://www.csdn.net
这里是被盗链后,response到以下的错误页面
url.error=http://www.csdn.net/error.html
参考文章:http://shen198623.javaeye.com/blog/243330
这篇文章是拦截所有的请求的,他fileter中的url-pattern是/*,这样的话,连/css /jpg等都话被filter拦截到,要么在里面进行shouldBeFilter的判断,要么就在url-pattern中缩写拦截范围,这个要看具体你要拦截什么样的请求,另外图片防盗链,下载反盗链也是一样的原理的。

http://blog.csdn.net/beacher_ma/article/details/5559739

这篇关于防盗链的基本原理与实现的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1148370

相关文章

hdu1043(八数码问题,广搜 + hash(实现状态压缩) )

利用康拓展开将一个排列映射成一个自然数,然后就变成了普通的广搜题。 #include<iostream>#include<algorithm>#include<string>#include<stack>#include<queue>#include<map>#include<stdio.h>#include<stdlib.h>#include<ctype.h>#inclu

【C++】_list常用方法解析及模拟实现

相信自己的力量,只要对自己始终保持信心,尽自己最大努力去完成任何事,就算事情最终结果是失败了,努力了也不留遗憾。💓💓💓 目录   ✨说在前面 🍋知识点一:什么是list? •🌰1.list的定义 •🌰2.list的基本特性 •🌰3.常用接口介绍 🍋知识点二:list常用接口 •🌰1.默认成员函数 🔥构造函数(⭐) 🔥析构函数 •🌰2.list对象

【Prometheus】PromQL向量匹配实现不同标签的向量数据进行运算

✨✨ 欢迎大家来到景天科技苑✨✨ 🎈🎈 养成好习惯,先赞后看哦~🎈🎈 🏆 作者简介:景天科技苑 🏆《头衔》:大厂架构师,华为云开发者社区专家博主,阿里云开发者社区专家博主,CSDN全栈领域优质创作者,掘金优秀博主,51CTO博客专家等。 🏆《博客》:Python全栈,前后端开发,小程序开发,人工智能,js逆向,App逆向,网络系统安全,数据分析,Django,fastapi

让树莓派智能语音助手实现定时提醒功能

最初的时候是想直接在rasa 的chatbot上实现,因为rasa本身是带有remindschedule模块的。不过经过一番折腾后,忽然发现,chatbot上实现的定时,语音助手不一定会有响应。因为,我目前语音助手的代码设置了长时间无应答会结束对话,这样一来,chatbot定时提醒的触发就不会被语音助手获悉。那怎么让语音助手也具有定时提醒功能呢? 我最后选择的方法是用threading.Time

Android实现任意版本设置默认的锁屏壁纸和桌面壁纸(两张壁纸可不一致)

客户有些需求需要设置默认壁纸和锁屏壁纸  在默认情况下 这两个壁纸是相同的  如果需要默认的锁屏壁纸和桌面壁纸不一样 需要额外修改 Android13实现 替换默认桌面壁纸: 将图片文件替换frameworks/base/core/res/res/drawable-nodpi/default_wallpaper.*  (注意不能是bmp格式) 替换默认锁屏壁纸: 将图片资源放入vendo

C#实战|大乐透选号器[6]:实现实时显示已选择的红蓝球数量

哈喽,你好啊,我是雷工。 关于大乐透选号器在前面已经记录了5篇笔记,这是第6篇; 接下来实现实时显示当前选中红球数量,蓝球数量; 以下为练习笔记。 01 效果演示 当选择和取消选择红球或蓝球时,在对应的位置显示实时已选择的红球、蓝球的数量; 02 标签名称 分别设置Label标签名称为:lblRedCount、lblBlueCount

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略 1. 特权模式限制2. 宿主机资源隔离3. 用户和组管理4. 权限提升控制5. SELinux配置 💖The Begin💖点点关注,收藏不迷路💖 Kubernetes的PodSecurityPolicy(PSP)是一个关键的安全特性,它在Pod创建之前实施安全策略,确保P

工厂ERP管理系统实现源码(JAVA)

工厂进销存管理系统是一个集采购管理、仓库管理、生产管理和销售管理于一体的综合解决方案。该系统旨在帮助企业优化流程、提高效率、降低成本,并实时掌握各环节的运营状况。 在采购管理方面,系统能够处理采购订单、供应商管理和采购入库等流程,确保采购过程的透明和高效。仓库管理方面,实现库存的精准管理,包括入库、出库、盘点等操作,确保库存数据的准确性和实时性。 生产管理模块则涵盖了生产计划制定、物料需求计划、

C++——stack、queue的实现及deque的介绍

目录 1.stack与queue的实现 1.1stack的实现  1.2 queue的实现 2.重温vector、list、stack、queue的介绍 2.1 STL标准库中stack和queue的底层结构  3.deque的简单介绍 3.1为什么选择deque作为stack和queue的底层默认容器  3.2 STL中对stack与queue的模拟实现 ①stack模拟实现

基于51单片机的自动转向修复系统的设计与实现

文章目录 前言资料获取设计介绍功能介绍设计清单具体实现截图参考文献设计获取 前言 💗博主介绍:✌全网粉丝10W+,CSDN特邀作者、博客专家、CSDN新星计划导师,一名热衷于单片机技术探索与分享的博主、专注于 精通51/STM32/MSP430/AVR等单片机设计 主要对象是咱们电子相关专业的大学生,希望您们都共创辉煌!✌💗 👇🏻 精彩专栏 推荐订阅👇🏻 单片机