SpringBoot 实现图片防盗链功能

2024-05-24 09:52
文章标签 java 实现 springboot 功能 图片 spring 防盗链

本文主要是介绍SpringBoot 实现图片防盗链功能,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

出于安全考虑,我们需要后端返回的图片只允许在某个网站内展示,不想被爬虫拿到图片地址后被下载。或者,不想浏览器直接访问图片链接。

出于性能考虑,不想要别人的网站,拿着我们的图片链接去展示,白白消耗自己的服务器资源。

故而可在springboot中,使用简单的图片防盗链规则。拦截掉一些处理。

1、代码实现

本篇实战代码是简易版,代码写死配置

1-1、创建拦截器类
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;public class ImageProtectionInterceptor implements HandlerInterceptor {private static final String ALLOWED_DOMAIN = "baidudu.com"; // 允许的域名@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 获取请求的 URLString requestUrl = request.getRequestURL().toString();// 判断请求是否以图片后缀结尾if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || requestUrl.endsWith(".jpeg")) {// 获取请求的来源域名String referer = request.getHeader("Referer");// 检查来源域名是否符合预期if (referer != null && referer.contains(ALLOWED_DOMAIN)) {return true; // 符合防盗链要求,放行请求} else {response.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回 403 Forbiddenreturn false; // 拦截请求}}return true; // 对非图片资源请求放行}
}
1-2、注册拦截器
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configuration
public class WebConfig implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 注册拦截器,拦截所有请求registry.addInterceptor(new ImageProtectionInterceptor()).addPathPatterns("/**"); // 拦截所有请求}
}

2、代码实现(灵活配置)

2-1、在 application.yml 中配置信息
# 图片防盗链配置
img-protect:# 图片防盗链保护开关enabled: true# 是否允许浏览器直接访问allowBrowser: false# 图片防盗链白名单,多个用逗号分隔【不填则所有网站都拦截】allowReferer: baidudu.com
2-2、创建配置文件映射类
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;@Component
@ConfigurationProperties("img-protect")
public class ImgProtectConfig {private boolean enabled;private boolean allowBrowser;private String allowReferer;public boolean getEnabled() {return enabled;}public void setEnabled(boolean enabled) {this.enabled = enabled;}public boolean getAllowBrowser() {return allowBrowser;}public void setAllowBrowser(boolean allowBrowser) {this.allowBrowser = allowBrowser;}public String getAllowReferer() {return allowReferer;}public void setAllowReferer(String allowReferer) {this.allowReferer = allowReferer;}
}
2-3、创建拦截器类
import 上方2-2创建的类路径.ImgProtectConfig;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Arrays;
import java.util.HashSet;
import java.util.Set;@Component
public class ImageProtectionInterceptor implements HandlerInterceptor {@Autowiredprivate ImgProtectConfig imgProtectConfig;@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 判断是否开启图片防盗链功能if (!imgProtectConfig.getEnabled()){return true;}// 获取请求的 URLString requestUrl = request.getRequestURL().toString();// 判断请求是否以图片后缀结尾if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || requestUrl.endsWith(".jpeg")) {// 获取请求的来源域名String referer = request.getHeader("Referer");// 检查来源域名是否符合预期,referer 为 null 则说明是浏览器直接访问。if (referer == null && imgProtectConfig.getAllowBrowser()){return true; // 符合防盗链要求,放行请求}else if (referer != null && isAllowedDomain(referer)) {return true; // 符合防盗链要求,放行请求} else {response.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回 403 Forbiddenreturn false; // 拦截请求}}return true; // 对非图片资源请求放行}// 检查是否来自允许的域名private boolean isAllowedDomain(String referer) {// 获取允许的域名String allowedReferers = imgProtectConfig.getAllowReferer();// 如果允许的域名不为空if (allowedReferers.trim() != null && !"".equals(allowedReferers.trim())) {// 将允许的域名分割成字符串数组Set<String> allowedDomains = new HashSet<>(Arrays.asList(allowedReferers.split(",")));// 遍历允许的域名for (String allowedDomain : allowedDomains) {// 如果请求的域名包含允许的域名,则返回trueif (referer.contains(allowedDomain.trim())) {return true;}}}// 否则返回falsereturn false;}}
2-4、注册拦截器
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configuration
public class WebConfig implements WebMvcConfigurer {// 不能再使用 new 方式创建对象 !!! @Autowiredprivate ImageProtectionInterceptor imageProtectionInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 注册拦截器,拦截所有请求registry.addInterceptor(imageProtectionInterceptor).addPathPatterns("/**"); // 拦截所有请求}
}

结束语

以上防盗链拦截器基本实现可以对付一般情况下的图片盗链,但并不能保证绝对安全。

可能出现以下等情况:

  • Referer 伪造: 恶意客户端可以伪造 referer 头。攻击者可以伪造有效的 referer 来绕过保护。

  • 漏报: 攻击者可能找到绕过 referer 检查的方法(例如使用 data URI 或 base64 编码的图片)。

  • 误报: 合法用户可能因为 referer 不匹配而被阻止(例如隐私浏览器或代理服务器)。

  • 反向代理: 攻击者可以在url路径中,添加域名白名单作为反向代理路径,绕开代码的contains方法检查。

这篇关于SpringBoot 实现图片防盗链功能的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/998075

相关文章

springboot集成easypoi导出word换行处理过程

springboot集成easypoi导出word换行处理过程

《springboot集成easypoi导出word换行处理过程》SpringBoot集成Easypoi导出Word时,换行符n失效显示为空格,解决方法包括生成段落或替换模板中n为回车,同时需确... 目录项目场景问题描述解决方案第一种:生成段落的方式第二种:替换模板的情况,换行符替换成回车总结项目场景s
阅读更多...
SpringBoot集成redisson实现延时队列教程

SpringBoot集成redisson实现延时队列教程

《SpringBoot集成redisson实现延时队列教程》文章介绍了使用Redisson实现延迟队列的完整步骤,包括依赖导入、Redis配置、工具类封装、业务枚举定义、执行器实现、Bean创建、消费... 目录1、先给项目导入Redisson依赖2、配置redis3、创建 RedissonConfig 配
阅读更多...
SpringBoot中@Value注入静态变量方式

SpringBoot中@Value注入静态变量方式

《SpringBoot中@Value注入静态变量方式》SpringBoot中静态变量无法直接用@Value注入,需通过setter方法,@Value(${})从属性文件获取值,@Value(#{})用... 目录项目场景解决方案注解说明1、@Value("${}")使用示例2、@Value("#{}"php
阅读更多...
SpringBoot分段处理List集合多线程批量插入数据方式

SpringBoot分段处理List集合多线程批量插入数据方式

《SpringBoot分段处理List集合多线程批量插入数据方式》文章介绍如何处理大数据量List批量插入数据库的优化方案:通过拆分List并分配独立线程处理,结合Spring线程池与异步方法提升效率... 目录项目场景解决方案1.实体类2.Mapper3.spring容器注入线程池bejsan对象4.创建
阅读更多...
线上Java OOM问题定位与解决方案超详细解析

线上Java OOM问题定位与解决方案超详细解析

《线上JavaOOM问题定位与解决方案超详细解析》OOM是JVM抛出的错误,表示内存分配失败,:本文主要介绍线上JavaOOM问题定位与解决方案的相关资料,文中通过代码介绍的非常详细,需要的朋... 目录一、OOM问题核心认知1.1 OOM定义与技术定位1.2 OOM常见类型及技术特征二、OOM问题定位工具
阅读更多...
Python的Darts库实现时间序列预测

Python的Darts库实现时间序列预测

《Python的Darts库实现时间序列预测》Darts一个集统计、机器学习与深度学习模型于一体的Python时间序列预测库,本文主要介绍了Python的Darts库实现时间序列预测,感兴趣的可以了解... 目录目录一、什么是 Darts?二、安装与基本配置安装 Darts导入基础模块三、时间序列数据结构与
阅读更多...
基于 Cursor 开发 Spring Boot 项目详细攻略

基于 Cursor 开发 Spring Boot 项目详细攻略

《基于Cursor开发SpringBoot项目详细攻略》Cursor是集成GPT4、Claude3.5等LLM的VSCode类AI编程工具,支持SpringBoot项目开发全流程,涵盖环境配... 目录cursor是什么?基于 Cursor 开发 Spring Boot 项目完整指南1. 环境准备2. 创建
阅读更多...
Python使用FastAPI实现大文件分片上传与断点续传功能

Python使用FastAPI实现大文件分片上传与断点续传功能

《Python使用FastAPI实现大文件分片上传与断点续传功能》大文件直传常遇到超时、网络抖动失败、失败后只能重传的问题,分片上传+断点续传可以把大文件拆成若干小块逐个上传,并在中断后从已完成分片继... 目录一、接口设计二、服务端实现(FastAPI)2.1 运行环境2.2 目录结构建议2.3 serv
阅读更多...
C#实现千万数据秒级导入的代码

C#实现千万数据秒级导入的代码

《C#实现千万数据秒级导入的代码》在实际开发中excel导入很常见,现代社会中很容易遇到大数据处理业务,所以本文我就给大家分享一下千万数据秒级导入怎么实现,文中有详细的代码示例供大家参考,需要的朋友可... 目录前言一、数据存储二、处理逻辑优化前代码处理逻辑优化后的代码总结前言在实际开发中excel导入很
阅读更多...
Spring Security简介、使用与最佳实践

Spring Security简介、使用与最佳实践

《SpringSecurity简介、使用与最佳实践》SpringSecurity是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,本文给大家介绍SpringSec... 目录一、如何理解 Spring Security?—— 核心思想二、如何在 Java 项目中使用?——
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2