访问网站出来的是目录,推荐西安优秀的响应式网站建设公司,三亚旅游网站策划书,wordpress 表格 插件一、什么是盗链
盗链是个什么操作#xff0c;看一下百度给出的解释#xff1a;盗链是指服务提供商自己不提供服务的内容#xff0c;通过技术手段绕过其它有利益的最终用户界面#xff08;如广告#xff09;#xff0c;直接在自己的网站上向最终用户提供其它服务提供商的…一、什么是盗链
盗链是个什么操作看一下百度给出的解释盗链是指服务提供商自己不提供服务的内容通过技术手段绕过其它有利益的最终用户界面如广告直接在自己的网站上向最终用户提供其它服务提供商的服务内容骗取最终用户的浏览和点击率。受益者不提供资源或提供很少的资源而真正的服务提供商却得不到任何的收益。 术语听得有点迷糊那我们简单的举个栗子平时我们在TX网看新闻里边有很多劲爆的图片、视频资源每天吸引上亿的用户活跃浏览赚着大把的广告费。 有一天一个穷比的程序员也想建一个自己的网站吸引用户赚广告费但苦于自己没有资源他灵光一闪盯上了TX网心想要是把它的资源为我所用这样就能借助TX的资源为自己赚钱。于是他通过爬虫等一些列技术手段把TX网资源拉取到自己的网站上绕过了TX网的展示页面直接呈现给用户达到了自己不提供资源又能赚钱的目的。 而如此做法却严重的损害了TX网的利益不仅分流了大量用户而且由于小富网的大量间接资源请求大大增加TX网服务器及带宽的压力。TX网的网安部门在知晓这一事情后决定封杀这类空手套白狼的站点终于祭出防盗链系统。 上边我们简单的举例说了什么是网站的盗链再总结的简单点就是小站点盗取大站点资源以此来获利的一种行为。既然有人盗就会有人防盗接下来在看看怎么防止盗链。 二、如何防盗链
防盗链在google新浪网易天涯等内容为主的网站应用的比较多毕竟主要靠资源内容赚钱的嘛。 提到防盗链的实现原理得从HTTP协议说起上边我们说过设置防盗链以后会对 “除了在TX网本站以外发起的资源请求全部封杀”那么问题来了如何识别一个请求URL是从哪个站点发出的呢 熟悉HTTP协议的小伙伴应该知道在HTTP协议头里有一个叫referer的字段通过referer 告诉服务器该网页是从哪个页面链接过来的知道这个就好办了只要获取 referer 字段一旦检测到来源不是本站即进行阻止或者返回指定的页面。 防盗链的核心理念尽量做到不让外站获取到我的资源即便能通过一些手段获取到资源也让你的获取过程异常繁琐复杂无法实现自动化处理或者干脆就给你有问题的资源恶心死你。做防盗链的方法比较多基于HTTP协议头的referer属性也只是其中一种下边我们来分析几种实现防盗链的方法。 2.1 基于HTTP协议的referer
基于HTTP协议中的 referer做防盗链可以从网关层或者利用AOP、Filter拦截器实现。
使用Nginx在网关层做防盗链目前是最简单的方式之一。通过拦截访问资源的请求valid_referers 关键字定义了白名单校验请求头中referer地址是否为本站如不是本站请求rewrite 转发请求到指定的警告页面。在 server 或者 location 配置模块中加入valid_referers none blocked其中 none : 允许没有http_refer的请求访问资源比如直接在浏览器输入图片网址blocked : 允许不是http://开头的不带协议的请求访问资源。
[rootserver1 nginx]# vim conf/nginx.conflocation / {root /web;index index.html;}location ~* \.(gif|jpg|png|jpeg)$ {root /web;valid_referers none blocked www.chengxy-nds.top;if ($invalid_referer){#return 403;rewrite ^/ https://img-blog.csdnimg.cn/20200429152123372.png;}}server {listen 80;server_name www.chengxy-nds.top;location / {root /bbs;index index.html;}}[rootserver1 nginx]# systemctl restart nginx这种实现可以限制大多数普通的非法请求但不能限制有目的的请求因为可以通过伪造referer信息来绕过。另一种是使用Filter拦截器方式。
public class MyFilter implements Filter {Overridepublic void doFilter(HttpServletRequest request, HttpServletResponse response,FilterChain chain) throws IOException, ServletException {HttpServletRequest req (HttpServletRequest) request;HttpServletResponse res (HttpServletResponse) response;String referer req.getHeader(referer);if (referer null || !referer.contains(req.getServerName())) {req.getRequestDispatcher(XXX.jpg).forward(req, res);} else {chain.doFilter(request, response);}}
}可以看到Filter拦截器的实现方式更加简单拦截指定请求URL拿到HttpServletRequest 中 referer值比对是否为本站。
2.2 登录验证禁止游客访问
登录验证这种就属于一刀切的方式一般在论坛、社区类网站使用比较多不管你发起请求的站点是什么到我这先登录没登录请求直接拒绝简单又粗暴。
2.3 图形验证码
图形验证码是一种比较常规的限制办法比如下载资源时必须手动操作验证码使爬虫工具无法绕过校验起到保护资源的目的。 当然实现防盗链的方式还有很多这里就不一一列举了。
