SpringBoot 实现图片防盗链功能

2024-05-24 09:52
文章标签 java 实现 springboot 功能 图片 spring 防盗链

本文主要是介绍SpringBoot 实现图片防盗链功能,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

出于安全考虑,我们需要后端返回的图片只允许在某个网站内展示,不想被爬虫拿到图片地址后被下载。或者,不想浏览器直接访问图片链接。

出于性能考虑,不想要别人的网站,拿着我们的图片链接去展示,白白消耗自己的服务器资源。

故而可在springboot中,使用简单的图片防盗链规则。拦截掉一些处理。

1、代码实现

本篇实战代码是简易版,代码写死配置

1-1、创建拦截器类
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;public class ImageProtectionInterceptor implements HandlerInterceptor {private static final String ALLOWED_DOMAIN = "baidudu.com"; // 允许的域名@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 获取请求的 URLString requestUrl = request.getRequestURL().toString();// 判断请求是否以图片后缀结尾if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || requestUrl.endsWith(".jpeg")) {// 获取请求的来源域名String referer = request.getHeader("Referer");// 检查来源域名是否符合预期if (referer != null && referer.contains(ALLOWED_DOMAIN)) {return true; // 符合防盗链要求,放行请求} else {response.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回 403 Forbiddenreturn false; // 拦截请求}}return true; // 对非图片资源请求放行}
}
1-2、注册拦截器
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configuration
public class WebConfig implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 注册拦截器,拦截所有请求registry.addInterceptor(new ImageProtectionInterceptor()).addPathPatterns("/**"); // 拦截所有请求}
}

2、代码实现(灵活配置)

2-1、在 application.yml 中配置信息
# 图片防盗链配置
img-protect:# 图片防盗链保护开关enabled: true# 是否允许浏览器直接访问allowBrowser: false# 图片防盗链白名单,多个用逗号分隔【不填则所有网站都拦截】allowReferer: baidudu.com
2-2、创建配置文件映射类
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;@Component
@ConfigurationProperties("img-protect")
public class ImgProtectConfig {private boolean enabled;private boolean allowBrowser;private String allowReferer;public boolean getEnabled() {return enabled;}public void setEnabled(boolean enabled) {this.enabled = enabled;}public boolean getAllowBrowser() {return allowBrowser;}public void setAllowBrowser(boolean allowBrowser) {this.allowBrowser = allowBrowser;}public String getAllowReferer() {return allowReferer;}public void setAllowReferer(String allowReferer) {this.allowReferer = allowReferer;}
}
2-3、创建拦截器类
import 上方2-2创建的类路径.ImgProtectConfig;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Arrays;
import java.util.HashSet;
import java.util.Set;@Component
public class ImageProtectionInterceptor implements HandlerInterceptor {@Autowiredprivate ImgProtectConfig imgProtectConfig;@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 判断是否开启图片防盗链功能if (!imgProtectConfig.getEnabled()){return true;}// 获取请求的 URLString requestUrl = request.getRequestURL().toString();// 判断请求是否以图片后缀结尾if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || requestUrl.endsWith(".jpeg")) {// 获取请求的来源域名String referer = request.getHeader("Referer");// 检查来源域名是否符合预期,referer 为 null 则说明是浏览器直接访问。if (referer == null && imgProtectConfig.getAllowBrowser()){return true; // 符合防盗链要求,放行请求}else if (referer != null && isAllowedDomain(referer)) {return true; // 符合防盗链要求,放行请求} else {response.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回 403 Forbiddenreturn false; // 拦截请求}}return true; // 对非图片资源请求放行}// 检查是否来自允许的域名private boolean isAllowedDomain(String referer) {// 获取允许的域名String allowedReferers = imgProtectConfig.getAllowReferer();// 如果允许的域名不为空if (allowedReferers.trim() != null && !"".equals(allowedReferers.trim())) {// 将允许的域名分割成字符串数组Set<String> allowedDomains = new HashSet<>(Arrays.asList(allowedReferers.split(",")));// 遍历允许的域名for (String allowedDomain : allowedDomains) {// 如果请求的域名包含允许的域名,则返回trueif (referer.contains(allowedDomain.trim())) {return true;}}}// 否则返回falsereturn false;}}
2-4、注册拦截器
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configuration
public class WebConfig implements WebMvcConfigurer {// 不能再使用 new 方式创建对象 !!! @Autowiredprivate ImageProtectionInterceptor imageProtectionInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 注册拦截器,拦截所有请求registry.addInterceptor(imageProtectionInterceptor).addPathPatterns("/**"); // 拦截所有请求}
}

结束语

以上防盗链拦截器基本实现可以对付一般情况下的图片盗链,但并不能保证绝对安全。

可能出现以下等情况:

  • Referer 伪造: 恶意客户端可以伪造 referer 头。攻击者可以伪造有效的 referer 来绕过保护。

  • 漏报: 攻击者可能找到绕过 referer 检查的方法(例如使用 data URI 或 base64 编码的图片)。

  • 误报: 合法用户可能因为 referer 不匹配而被阻止(例如隐私浏览器或代理服务器)。

  • 反向代理: 攻击者可以在url路径中,添加域名白名单作为反向代理路径,绕开代码的contains方法检查。

这篇关于SpringBoot 实现图片防盗链功能的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/998075

相关文章

C++对象布局及多态实现探索之内存布局(整理的很多链接)

C++对象布局及多态实现探索之内存布局(整理的很多链接)

本文通过观察对象的内存布局,跟踪函数调用的汇编代码。分析了C++对象内存的布局情况,虚函数的执行方式,以及虚继承,等等 文章链接:http://dev.yesky.com/254/2191254.shtml      论C/C++函数间动态内存的传递 (2005-07-30)   当你涉及到C/C++的核心编程的时候,你会无止境地与内存管理打交道。 文章链接:http://dev.yesky
阅读更多...
Java五子棋之坐标校正

Java五子棋之坐标校正

上篇针对了Java项目中的解构思维,在这篇内容中我们不妨从整体项目中拆解拿出一个非常重要的五子棋逻辑实现:坐标校正,我们如何使漫无目的鼠标点击变得有序化和可控化呢? 目录 一、从鼠标监听到获取坐标 1.MouseListener和MouseAdapter 2.mousePressed方法 二、坐标校正的具体实现方法 1.关于fillOval方法 2.坐标获取 3.坐标转换 4.坐
阅读更多...
Spring Cloud:构建分布式系统的利器

Spring Cloud:构建分布式系统的利器

引言 在当今的云计算和微服务架构时代,构建高效、可靠的分布式系统成为软件开发的重要任务。Spring Cloud 提供了一套完整的解决方案,帮助开发者快速构建分布式系统中的一些常见模式(例如配置管理、服务发现、断路器等)。本文将探讨 Spring Cloud 的定义、核心组件、应用场景以及未来的发展趋势。 什么是 Spring Cloud Spring Cloud 是一个基于 Spring
阅读更多...
Javascript高级程序设计(第四版)--学习记录之变量、内存

Javascript高级程序设计(第四版)--学习记录之变量、内存

原始值与引用值 原始值:简单的数据即基础数据类型,按值访问。 引用值:由多个值构成的对象即复杂数据类型,按引用访问。 动态属性 对于引用值而言,可以随时添加、修改和删除其属性和方法。 let person = new Object();person.name = 'Jason';person.age = 42;console.log(person.name,person.age);//'J
阅读更多...
java8的新特性之一(Java Lambda表达式)

java8的新特性之一(Java Lambda表达式)

1:Java8的新特性 Lambda 表达式: 允许以更简洁的方式表示匿名函数(或称为闭包)。可以将Lambda表达式作为参数传递给方法或赋值给函数式接口类型的变量。 Stream API: 提供了一种处理集合数据的流式处理方式,支持函数式编程风格。 允许以声明性方式处理数据集合(如List、Set等)。提供了一系列操作,如map、filter、reduce等,以支持复杂的查询和转
阅读更多...
Java面试八股之怎么通过Java程序判断JVM是32位还是64位

Java面试八股之怎么通过Java程序判断JVM是32位还是64位

怎么通过Java程序判断JVM是32位还是64位 可以通过Java程序内部检查系统属性来判断当前运行的JVM是32位还是64位。以下是一个简单的方法: public class JvmBitCheck {public static void main(String[] args) {String arch = System.getProperty("os.arch");String dataM
阅读更多...
详细分析Springmvc中的@ModelAttribute基本知识(附Demo)

详细分析Springmvc中的@ModelAttribute基本知识(附Demo)

目录 前言1. 注解用法1.1 方法参数1.2 方法1.3 类 2. 注解场景2.1 表单参数2.2 AJAX请求2.3 文件上传 3. 实战4. 总结 前言 将请求参数绑定到模型对象上,或者在请求处理之前添加模型属性 可以在方法参数、方法或者类上使用 一般适用这几种场景: 表单处理:通过 @ModelAttribute 将表单数据绑定到模型对象上预处理逻辑:在请求处理之前
阅读更多...
eclipse运行springboot项目,找不到主类

eclipse运行springboot项目,找不到主类

解决办法尝试了很多种,下载sts压缩包行不通。最后解决办法如图: help--->Eclipse Marketplace--->Popular--->找到Spring Tools 3---->Installed。
阅读更多...
JAVA读取MongoDB中的二进制图片并显示在页面上

JAVA读取MongoDB中的二进制图片并显示在页面上

1:Jsp页面: <td><img src="${ctx}/mongoImg/show"></td> 2:xml配置: <?xml version="1.0" encoding="UTF-8"?><beans xmlns="http://www.springframework.org/schema/beans"xmlns:xsi="http://www.w3.org/2001
阅读更多...
Java面试题:通过实例说明内连接、左外连接和右外连接的区别

Java面试题:通过实例说明内连接、左外连接和右外连接的区别

在 SQL 中,连接(JOIN)用于在多个表之间组合行。最常用的连接类型是内连接(INNER JOIN)、左外连接(LEFT OUTER JOIN)和右外连接(RIGHT OUTER JOIN)。它们的主要区别在于它们如何处理表之间的匹配和不匹配行。下面是每种连接的详细说明和示例。 表示例 假设有两个表:Customers 和 Orders。 Customers CustomerIDCus
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2