SpringBoot 实现图片防盗链功能

2024-05-24 09:52
文章标签 java 实现 springboot 功能 图片 spring 防盗链

本文主要是介绍SpringBoot 实现图片防盗链功能,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

出于安全考虑,我们需要后端返回的图片只允许在某个网站内展示,不想被爬虫拿到图片地址后被下载。或者,不想浏览器直接访问图片链接。

出于性能考虑,不想要别人的网站,拿着我们的图片链接去展示,白白消耗自己的服务器资源。

故而可在springboot中,使用简单的图片防盗链规则。拦截掉一些处理。

1、代码实现

本篇实战代码是简易版,代码写死配置

1-1、创建拦截器类
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;public class ImageProtectionInterceptor implements HandlerInterceptor {private static final String ALLOWED_DOMAIN = "baidudu.com"; // 允许的域名@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 获取请求的 URLString requestUrl = request.getRequestURL().toString();// 判断请求是否以图片后缀结尾if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || requestUrl.endsWith(".jpeg")) {// 获取请求的来源域名String referer = request.getHeader("Referer");// 检查来源域名是否符合预期if (referer != null && referer.contains(ALLOWED_DOMAIN)) {return true; // 符合防盗链要求,放行请求} else {response.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回 403 Forbiddenreturn false; // 拦截请求}}return true; // 对非图片资源请求放行}
}
1-2、注册拦截器
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configuration
public class WebConfig implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 注册拦截器,拦截所有请求registry.addInterceptor(new ImageProtectionInterceptor()).addPathPatterns("/**"); // 拦截所有请求}
}

2、代码实现(灵活配置)

2-1、在 application.yml 中配置信息
# 图片防盗链配置
img-protect:# 图片防盗链保护开关enabled: true# 是否允许浏览器直接访问allowBrowser: false# 图片防盗链白名单,多个用逗号分隔【不填则所有网站都拦截】allowReferer: baidudu.com
2-2、创建配置文件映射类
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;@Component
@ConfigurationProperties("img-protect")
public class ImgProtectConfig {private boolean enabled;private boolean allowBrowser;private String allowReferer;public boolean getEnabled() {return enabled;}public void setEnabled(boolean enabled) {this.enabled = enabled;}public boolean getAllowBrowser() {return allowBrowser;}public void setAllowBrowser(boolean allowBrowser) {this.allowBrowser = allowBrowser;}public String getAllowReferer() {return allowReferer;}public void setAllowReferer(String allowReferer) {this.allowReferer = allowReferer;}
}
2-3、创建拦截器类
import 上方2-2创建的类路径.ImgProtectConfig;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Arrays;
import java.util.HashSet;
import java.util.Set;@Component
public class ImageProtectionInterceptor implements HandlerInterceptor {@Autowiredprivate ImgProtectConfig imgProtectConfig;@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 判断是否开启图片防盗链功能if (!imgProtectConfig.getEnabled()){return true;}// 获取请求的 URLString requestUrl = request.getRequestURL().toString();// 判断请求是否以图片后缀结尾if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || requestUrl.endsWith(".jpeg")) {// 获取请求的来源域名String referer = request.getHeader("Referer");// 检查来源域名是否符合预期,referer 为 null 则说明是浏览器直接访问。if (referer == null && imgProtectConfig.getAllowBrowser()){return true; // 符合防盗链要求,放行请求}else if (referer != null && isAllowedDomain(referer)) {return true; // 符合防盗链要求,放行请求} else {response.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回 403 Forbiddenreturn false; // 拦截请求}}return true; // 对非图片资源请求放行}// 检查是否来自允许的域名private boolean isAllowedDomain(String referer) {// 获取允许的域名String allowedReferers = imgProtectConfig.getAllowReferer();// 如果允许的域名不为空if (allowedReferers.trim() != null && !"".equals(allowedReferers.trim())) {// 将允许的域名分割成字符串数组Set<String> allowedDomains = new HashSet<>(Arrays.asList(allowedReferers.split(",")));// 遍历允许的域名for (String allowedDomain : allowedDomains) {// 如果请求的域名包含允许的域名,则返回trueif (referer.contains(allowedDomain.trim())) {return true;}}}// 否则返回falsereturn false;}}
2-4、注册拦截器
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configuration
public class WebConfig implements WebMvcConfigurer {// 不能再使用 new 方式创建对象 !!! @Autowiredprivate ImageProtectionInterceptor imageProtectionInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 注册拦截器,拦截所有请求registry.addInterceptor(imageProtectionInterceptor).addPathPatterns("/**"); // 拦截所有请求}
}

结束语

以上防盗链拦截器基本实现可以对付一般情况下的图片盗链,但并不能保证绝对安全。

可能出现以下等情况:

  • Referer 伪造: 恶意客户端可以伪造 referer 头。攻击者可以伪造有效的 referer 来绕过保护。

  • 漏报: 攻击者可能找到绕过 referer 检查的方法(例如使用 data URI 或 base64 编码的图片)。

  • 误报: 合法用户可能因为 referer 不匹配而被阻止(例如隐私浏览器或代理服务器)。

  • 反向代理: 攻击者可以在url路径中,添加域名白名单作为反向代理路径,绕开代码的contains方法检查。

这篇关于SpringBoot 实现图片防盗链功能的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/998075

相关文章

Spring Boot中WebSocket常用使用方法详解

Spring Boot中WebSocket常用使用方法详解

《SpringBoot中WebSocket常用使用方法详解》本文从WebSocket的基础概念出发,详细介绍了SpringBoot集成WebSocket的步骤,并重点讲解了常用的使用方法,包括简单消... 目录一、WebSocket基础概念1.1 什么是WebSocket1.2 WebSocket与HTTP
阅读更多...
SpringBoot+Docker+Graylog 如何让错误自动报警

SpringBoot+Docker+Graylog 如何让错误自动报警

《SpringBoot+Docker+Graylog如何让错误自动报警》SpringBoot默认使用SLF4J与Logback,支持多日志级别和配置方式,可输出到控制台、文件及远程服务器,集成ELK... 目录01 Spring Boot 默认日志框架解析02 Spring Boot 日志级别详解03 Sp
阅读更多...
Python使用python-can实现合并BLF文件

Python使用python-can实现合并BLF文件

《Python使用python-can实现合并BLF文件》python-can库是Python生态中专注于CAN总线通信与数据处理的强大工具,本文将使用python-can为BLF文件合并提供高效灵活... 目录一、python-can 库:CAN 数据处理的利器二、BLF 文件合并核心代码解析1. 基础合
阅读更多...
java中反射Reflection的4个作用详解

java中反射Reflection的4个作用详解

《java中反射Reflection的4个作用详解》反射Reflection是Java等编程语言中的一个重要特性,它允许程序在运行时进行自我检查和对内部成员(如字段、方法、类等)的操作,本文将详细介绍... 目录作用1、在运行时判断任意一个对象所属的类作用2、在运行时构造任意一个类的对象作用3、在运行时判断
阅读更多...
Python使用OpenCV实现获取视频时长的小工具

Python使用OpenCV实现获取视频时长的小工具

《Python使用OpenCV实现获取视频时长的小工具》在处理视频数据时,获取视频的时长是一项常见且基础的需求,本文将详细介绍如何使用Python和OpenCV获取视频时长,并对每一行代码进行深入解析... 目录一、代码实现二、代码解析1. 导入 OpenCV 库2. 定义获取视频时长的函数3. 打开视频文
阅读更多...
golang版本升级如何实现

golang版本升级如何实现

《golang版本升级如何实现》:本文主要介绍golang版本升级如何实现问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录golanwww.chinasem.cng版本升级linux上golang版本升级删除golang旧版本安装golang最新版本总结gola
阅读更多...
java如何解压zip压缩包

java如何解压zip压缩包

《java如何解压zip压缩包》:本文主要介绍java如何解压zip压缩包问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Java解压zip压缩包实例代码结果如下总结java解压zip压缩包坐在旁边的小伙伴问我怎么用 java 将服务器上的压缩文件解压出来,
阅读更多...
SpringBoot中SM2公钥加密、私钥解密的实现示例详解

SpringBoot中SM2公钥加密、私钥解密的实现示例详解

《SpringBoot中SM2公钥加密、私钥解密的实现示例详解》本文介绍了如何在SpringBoot项目中实现SM2公钥加密和私钥解密的功能,通过使用Hutool库和BouncyCastle依赖,简化... 目录一、前言1、加密信息(示例)2、加密结果(示例)二、实现代码1、yml文件配置2、创建SM2工具
阅读更多...
Spring WebFlux 与 WebClient 使用指南及最佳实践

Spring WebFlux 与 WebClient 使用指南及最佳实践

《SpringWebFlux与WebClient使用指南及最佳实践》WebClient是SpringWebFlux模块提供的非阻塞、响应式HTTP客户端,基于ProjectReactor实现,... 目录Spring WebFlux 与 WebClient 使用指南1. WebClient 概述2. 核心依
阅读更多...
Mysql实现范围分区表(新增、删除、重组、查看)

Mysql实现范围分区表(新增、删除、重组、查看)

《Mysql实现范围分区表(新增、删除、重组、查看)》MySQL分区表的四种类型(范围、哈希、列表、键值),主要介绍了范围分区的创建、查询、添加、删除及重组织操作,具有一定的参考价值,感兴趣的可以了解... 目录一、mysql分区表分类二、范围分区(Range Partitioning1、新建分区表:2、分
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2