网站防盗链系统,打破了我的“发财梦”

简介: 网站防盗链系统,打破了我的“发财梦”

下午摸鱼的时候遇到了一件有意思的事,在网上找到一个资源站,将资源站的 url 放到自己的博客里,想白嫖一波,结果在我自己的博客里链接失效了,折腾半天忽然想起来,这个网站应该是做了防盗链处理。

什么是盗链

盗链是个什么操作,看一下百度给出的解释:盗链是指服务提供商自己不提供服务的内容,通过技术手段绕过其它有利益的最终用户界面(如广告),直接在自己的网站上向最终用户提供其它服务提供商的服务内容,骗取最终用户的浏览和点击率。受益者不提供资源或提供很少的资源,而真正的服务提供商却得不到任何的收益。
在这里插入图片描述
术语听得有点迷糊?那我们简单的举个栗子:

平时我们在TX网看新闻,里边有很多劲爆的图片、视频资源,每天吸引上亿的用户活跃浏览,赚着大把的广告费。
在这里插入图片描述
有一天一个穷比程序员小富突发奇想,也想建一个自己的网站吸引用户赚广告费,但苦于自己没有资源,他灵光一闪盯上了TX网,心想:要是把它的资源为我所用,这样就能借助TX的资源为自己赚钱。

于是他通过爬虫等一些列技术手段,把TX网资源拉取到自己的小富网,绕过了TX网的展示页面直接呈现给用户,达到了自己不提供资源又能赚钱的目的。

而如此做法却严重的损害了TX网的利益,不仅分流了大量用户,而且由于小富网的大量间接资源请求,大大增加TX网服务器及带宽的压力。

TX网蛋糕被动,忍无可忍决定封杀小富网这类空手套白狼的站点,终于祭出防盗链系统,对除了在TX网本站以外发起的资源请求全部封杀,小富网没法再拉取资源,小富一下子又成了穷比,嘤嘤嘤~
在这里插入图片描述
上边我们简单的举例说了什么是网站的盗链,再总结的简单点就是小站点盗取大站点资源以此来获利的一种行为。

既然有人盗就会有人防盗,接下来在看看怎么防止盗链。

如何防盗链

防盗链在google新浪网易天涯等,内容为主的网站应用的比较多,毕竟主要靠资源内容赚钱的嘛。

在这里插入图片描述

提到防盗链的实现原理得从HTTP协议说起,上边我们说过设置防盗链以后,会对 “除了在TX网本站以外发起的资源请求全部封杀”,那么问题来了,如何识别一个请求URL是从哪个站点发出的呢?

熟悉HTTP协议的小伙伴应该知道,在HTTP协议头里有一个叫referer的字段,通过referer 告诉服务器该网页是从哪个页面链接过来的,知道这个就好办了,只要获取 referer 字段,一旦检测到来源不是本站即进行阻止或者返回指定的页面。

在这里插入图片描述
防盗链的核心理念:尽量做到不让外站获取到我的资源,即便能通过一些手段获取到资源,也让你的获取过程异常繁琐复杂,无法实现自动化处理,或者干脆就给你有问题的资源恶心死你。

防盗链的方法比较多,基于HTTP协议头的referer属性也只是其中一种,下边我们来分析几种实现防盗链的方法,如果你有更好的实现方法欢迎留言哦。

基于 HTTP 协议的 referer

基于HTTP协议中的 referer做防盗链,可以从网关层或者利用AOPFilter拦截器实现。

使用Nginx在网关层做防盗链,目前是最简单的方式之一。通过拦截访问资源的请求,valid_referers 关键字定义了白名单,校验请求头中referer地址是否为本站,如不是本站请求,rewrite 转发请求到指定的警告页面。

server 或者 location 配置模块中加入:valid_referers none blocked,其中 none : 允许没有http_refer的请求访问资源(比如:直接在浏览器输入图片网址);blocked : 允许不是http://开头的,不带协议的请求访问资源。

注意:这种实现可以限制大多数普通的非法请求,但不能限制有目的的请求,因为可以通过伪造referer信息来绕过。

[root@server1 nginx]# vim conf/nginx.conf

      location / {
            root /web;
             index index.html;
      }
      location ~* \.(gif|jpg|png|jpeg)$ {
            root /web;
            valid_referers none blocked www.chengxy-nds.top;
            if ($invalid_referer){
                #return 403;
                rewrite ^/ https://ucc.alicdn.com/images/user-upload-01/20200429152123372.png;
         }
     }

     server {
         listen 80;
         server_name www.chengxy-nds.top;
         location / {
                 root /bbs;
                 index index.html;
         }
    }
    
[root@server1 nginx]# systemctl restart nginx

Filter拦截器的实现方式更加简单,拦截指定请求URL,拿到HttpServletRequestreferer值比对是否为本站。

public class MyFilter implements Filter {
    @Override
    public void doFilter(HttpServletRequest request, HttpServletResponse response,
            FilterChain chain) throws IOException, ServletException {
            
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;
        String referer = req.getHeader("referer");
        
        if (referer == null || !referer.contains(req.getServerName())) {
            req.getRequestDispatcher("XXX.jpg").forward(req, res);
        } else {
            chain.doFilter(request, response);
        }
    }
}
登录验证,禁止游客访问

登录验证这种就属于一刀切的方式,一般在论坛、社区类网站使用比较多,不管你发起请求的站点是什么,到我这先登录,没登录请求直接拒绝,简单又粗暴。

图形验证码

图形验证码是一种比较常规的限制办法,比如:下载资源时,必须手动操作验证码,使爬虫工具无法绕过校验,起到保护资源的目的。

在这里插入图片描述
实现防盗链的方式还有很多,这里就不一一列举了(别问,问就是还有很多)。

总结

本来没想写这篇文章,下午搭建自己的博客整理资料,白嫖别人资源没成功有感而发,哈哈哈~ 正好借此机会简单的介绍一下防盗链的概念,提醒 everyone 在开发中要提高安全意识。其实盗链与防盗链就是像是矛与盾一样,说不好是矛更锋利还是盾更坚固,做不到绝对的防盗。道高一尺魔高一丈,盗链的手段越高,相应的防盗技术也会越成熟。

小福利:
整理了几百本各类技术电子书相送 ,嘘~, 免费
送给小伙伴们。关注公众号【程序员内点事】回复【666】自行领取。和一些小伙伴们建了一个技术交流群,一起探讨技术、分享技术资料,旨在共同学习进步,如果感兴趣就扫码加入我们吧!
相关文章
|
9月前
|
人工智能 自然语言处理 搜索推荐
数字人|数字人平台全域技术分析
在AI与元宇宙驱动下,数字人正重塑千行百业。本文解析行业生态,聚焦技术领军者像衍科技——依托顶尖科研实力,打造全栈技术闭环,推动数字人在医疗、工业、教育等高价值场景规模化落地,树立“技术驱动”新标杆。(238字)
|
9月前
|
人工智能 供应链 小程序
高效赋能数字人:2025 精选工具大推荐
2025 年,生成式 AI 技术推动数字人工具从 “单一功能落地” 迈向 “全链路价值赋能”,不仅能解决 “降本增效” 的基础需求,更能助力个人与企业解锁 “场景创新”。以下精选 5 款能力差异化的数字人工具,从核心技术、适配场景、实用价值等维度拆解,帮你找到能真正落地的数字人解决方案。
1759 10
|
7月前
|
人工智能 自然语言处理 搜索推荐
中国数字人企业推荐:2025数字人产业核心厂商与权威排名与市场趋势深度报告
虚实融合,AI数字人正开启智能交互新纪元。集语音、情感、视觉于一体的多模态技术,推动其在政务、教育、文旅、电商等场景广泛应用。全栈技术与垂直应用双轮驱动,2025年中国市场规模将超六百亿元。技术普惠需兼顾安全、隐私与伦理,迈向以人为本的数字化未来。#数字人 #智能交互 #科技向善
546 1
|
7月前
|
供应链 监控 安全
区块链BaaS应用:利用阿里云平台快速发行和管理数字资产
阿里云区块链服务(BaaS)助力企业高效构建数字资产平台,支持多链部署、智能合约开发与全生命周期管理。涵盖发行、交易、清算及审计追溯,适用于数字藏品、积分通证、供应链金融等场景,提供安全合规、弹性可扩展的一站式解决方案。
|
7月前
|
人工智能 自然语言处理 机器人
2025年头部AI数字人公司技术解析,中国优秀数字人企业实探
2025年,数字人迈向规模化产业应用。世优科技“波塔AI数字人智能体”入选年度典型案例,凭借多模态交互、大模型+小模型架构与全栈技术,深入政务、文旅、医疗、教育等场景,实现降本增效。其技术自研、场景融合与生态共建能力,彰显数字人作为“新质生产力”的落地价值,引领人机协同新时代。
605 0
|
11月前
|
搜索推荐 数据挖掘 API
【干货满满】阿里妈妈API接口和淘宝联盟的接口有哪些区别
阿里妈妈API覆盖全链路营销,包含广告投放、数据分析及淘宝客推广,适用于品牌商家与营销工具;淘宝联盟API则专注淘宝客业务,提供商品查询、链接生成与佣金结算等功能,适合推广者使用。两者在功能、权限及应用场景上各有侧重。
|
存储 人工智能 缓存
《鸿蒙安全沙箱:人工智能应用的坚固护盾》
在人工智能广泛应用的今天,数据安全与隐私保护成为关键议题。鸿蒙系统的安全沙箱技术应运而生,为AI应用提供全方位安全保障。通过构建独立运行空间、路径隔离、精细权限管控等措施,防止数据泄露与恶意攻击。同时,强化身份验证、抵御恶意软件、赋予用户权限掌控权,确保AI应用安全运行。鸿蒙安全沙箱不仅守护用户隐私,还推动人工智能产业健康发展,让用户安心享受智能科技带来的便利。
680 0
《鸿蒙安全沙箱:人工智能应用的坚固护盾》
|
SQL cobar 算法
SpringBoot 2 种方式快速实现分库分表,轻松拿捏!
SpringBoot 2 种方式快速实现分库分表,轻松拿捏!
7366 6
SpringBoot 2 种方式快速实现分库分表,轻松拿捏!
|
监控 安全 数据挖掘
BPM业务流程管理是什么?有哪些值得推荐的BPM工具?
本文介绍了业务流程管理(BPM)的概念、历史发展及三种类型:以集成为中心、以人为中心和以文档为中心。随后推荐了五款 BPM 工具:板栗看板、Pega、Appian、K2 和 Bonitasoft,分别强调它们在界面设计、规则引擎、低代码开发、灵活集成和开源定制等方面的优势。企业可根据自身需求选择合适的工具优化业务流程。
2213 2
BPM业务流程管理是什么?有哪些值得推荐的BPM工具?
|
存储 数据采集 自然语言处理
使用大模型时,该如何避免虚假信息的生成和使用?
使用大模型时,该如何避免虚假信息的生成和使用?
1385 1