有些產(chǎn)品為了防止自己的產(chǎn)品被盜鏈訪問,會采用反盜鏈措施��,如封閉型生態(tài)的音樂網(wǎng)站和視頻網(wǎng)站���,他們已經(jīng)為了版權(quán)付費,自然不希望你免費使用他們的資源�����。但因為很多人專門研究盜鏈����,因此我們也需要了解下盜鏈、反盜鏈和逃避反盜鏈的原理��。
盜鏈
引用百度百科對盜鏈的定義:
盜鏈?zhǔn)侵阜?wù)提供商自己不提供服務(wù)的內(nèi)容,通過技術(shù)手段繞過其它有利益的最終用戶界面(如廣告)����,直接在自己的網(wǎng)站上向最終用戶提供其它服務(wù)提供商的服務(wù)內(nèi)容,騙取最終用戶的瀏覽和點擊率��。受益者不提供資源或提供很少的資源����,而真正的服務(wù)提供商卻得不到任何的收益。
常規(guī)盜鏈
我們知道���,網(wǎng)站提供服務(wù)是向服務(wù)端請求一個 html 文件��,這個文件中包含有 css/js 文件�,也包含 img/video 標(biāo)簽����,這些靜態(tài)資源會在 html 文件加載時,依次的發(fā)起請求并填充在指定位置上�����,從而完成整個頁面的加載。
因此只要拿到這個圖片的 URL 并嵌入我們自己的 html 文件中��,就能在我們的網(wǎng)站上訪問���,由于資源是不同的 HTTP 請求獨立訪問的���,因此我們也能過濾源站的 html 文件。這就是最簡單的盜鏈�。
危害:在用戶訪問時,并沒有在訪問被盜鏈網(wǎng)站����,但是依然會占用該網(wǎng)站的帶寬資源,而帶寬是要給運營商付費的���。同時����,該網(wǎng)站的廣告�、周邊����、宣傳等資源并不會被用戶訪問到。
分布式盜鏈
分布式盜鏈比較復(fù)雜���,需要在服務(wù)端部署專門的程序��,并不針對單個網(wǎng)站或單個 url ��,而是對全網(wǎng)的所有有用的資源進(jìn)行盜取�,并存儲在自己的數(shù)據(jù)庫中,并在用戶實際訪問時�,完全轉(zhuǎn)換為自己的流量。
危害:自己通過勞動���、金錢��、版權(quán)付費得到的資源�����,被盜鏈網(wǎng)站免費使用�,如網(wǎng)店攝影圖���、期刊���、電視劇等。并因此導(dǎo)致自己的會員、服務(wù)無法實現(xiàn)盈利�。
反盜鏈分類
我們了解了盜鏈對源站的危害后,自然要通過一些手段來阻止這種行為維護(hù)自己的利益��。
加水印
這是最簡單的方法���,通過后端程序批量對圖片等資源加上水印�,這樣在盜鏈的同時��,也在為自己的網(wǎng)站做宣傳�����,有時甚至?xí)鲃訉で筮@種盜鏈�。
資源重命名
因為盜鏈?zhǔn)峭ㄟ^指定的url,這個 url 中一定包含該資源的路徑和名稱����,因此通過不定期的更改文件或目錄的名稱,能夠快速避免盜鏈�,但也會導(dǎo)致正在下載的資源被中斷。
限制引用頁
在 http 請求的頭部信息中����,有一個字段: referer ,它代表這個請求是從哪個頁面發(fā)起的����,如果是單獨在頁面中打開或者服務(wù)端請求的,則這個字段為空����。因此我們可以通過 referer 這個字段的值做限制,如果是自己認(rèn)可的頁面�,則返回資源,否則�,禁止該請求。但是由于每次都要打開一個白名單的文件做 url 匹配�����,因此會降低性能����。
加密認(rèn)證
在客戶端通過將用戶認(rèn)證的信息和資源的名稱進(jìn)行組合后加密,將加密的字符串作為 url 的參數(shù)發(fā)起請求����,在服務(wù)端進(jìn)行解密并認(rèn)證通過后,才會返回請求的資源����。這個方式主要用于防范分布式盜鏈����。
反盜鏈程序
上面的3種反盜鏈方式����,我們常用的是第三種,通過 referer 屬性來完成反盜鏈�,今天也主要分享這一種方法的反盜鏈與防反盜鏈。
后端程序限制
這種限制需要消耗服務(wù)端計算資源����,因此不如 Nginx 限制常用。
$from = parse_url($_SERVER['HTTP_REFERER']);
if ($from['host']!='xxx.com' $from['host']!='www.xxx.com') {
die('你丫在盜鏈');
}
Nginx 限制
通過修改 nginx 配置文件可以做到�����,修改完成后記得重啟 nginx :
// 這里指定需要防盜鏈的資源����,如gif/jpg等
location ~* \.(gif|jpg|png|jpeg)$ {
// 設(shè)置資源的過期時間
expires 30d;
// 設(shè)置合法的引用頁,也就是防盜鏈的白名單�����;
// none blocked保證用戶在新頁面打開時依然能夠打開��,如果不希望用戶能夠保存刪掉這兩項
valid_referers none blocked *.hugao8.com *.baidu.com *.google.com;
// 對于非法的引用頁����,可以重寫圖片,也可以直接返回403或404頁面
if ($invalid_referer) {
rewrite ^/http://www.it300.com/static/images/404.jpg;
#return 404;
}
}
Referer-Policy
Referer 首部包含了當(dāng)前請求頁面的來源頁面的地址��,即表示當(dāng)前頁面是通過此來源頁面里的鏈接進(jìn)入的�。服務(wù)端一般使用 Referer 首部識別訪問來源,可能會以此進(jìn)行統(tǒng)計分析��、日志記錄以及緩存優(yōu)化等���。
Referer 屬性出現(xiàn)在請求頭中��,也在請求頭中被設(shè)置��,但是在瀏覽器的安全策略里����,該值無法被 js 所指定:
$.ajax({
url: 'http://www.baidu.com',
beforeSend(xhr) {
// 在發(fā)送ajax請求前設(shè)置header頭部
xhr.setRequestHeader("Referer", "http://translate.google.com/");
xhr.setRequestHeader("User-Agent", "stagefright/1.2 (Linux;Android 5.0)");
},
success(data) {
console.log(data);
},
error(err) {
console.log(err);
}
});
然而瀏覽器會報錯:
那么 Referer 是怎么被自動設(shè)置的呢�����?這個得看 Referer-Policy屬性 是怎么定義的:
- no-referrer : 整個 Referer 首部會被移除。訪問來源信息不隨著請求一起發(fā)送���。
- no-referrer-when-downgrade (默認(rèn)值): 在沒有指定任何策略的情況下用戶代理的默認(rèn)行為��。在同等安全級別的情況下��,引用頁面的地址會被發(fā)送(HTTPS->HTTPS)����,但是在降級的情況下不會被發(fā)送 (HTTPS->HTTP)��。
- origin : 在任何情況下�,僅發(fā)送文件的源作為引用地址。例如 https://example.com/page.html 會將 https://example.com/ 作為引用地址���。
- origin-when-cross-origin : 對于同源的請求����,會發(fā)送完整的URL作為引用地址����,但是對于非同源請求僅發(fā)送文件的源。
- same-origin : 對于同源的請求會發(fā)送引用地址���,但是對于非同源請求則不發(fā)送引用地址信息���。
- strict-origin : 在同等安全級別的情況下�,發(fā)送文件的源作為引用地址(HTTPS->HTTPS)��,但是在降級的情況下不會發(fā)送 (HTTPS->HTTP)���。
- strict-origin-when-cross-origin : 對于同源的請求,會發(fā)送完整的URL作為引用地址����;在同等安全級別的情況下,發(fā)送文件的源作為引用地址(HTTPS->HTTPS)����;在降級的情況下不發(fā)送此首部 (HTTPS->HTTP)。
- unsafe-url : 無論是同源請求還是非同源請求���,都發(fā)送完整的 URL(移除參數(shù)信息之后)作為引用地址����。
這個值可以通過三種方式來設(shè)置:
meta name="referrer" content="origin">
a rel="external nofollow" rel="external nofollow" referrerpolicy="origin">
a rel="external nofollow" rel="external nofollow" rel="noreferrer">
防反盜鏈
前端 JS 不能在頭部設(shè)置 Referer 字段���,和跨域一樣是因為瀏覽器的安全策略����,那么同樣的在服務(wù)端進(jìn)行請求就不會有這些限制,我們在服務(wù)端請求時就可以自由的修改 Referer 字段�����。
我們通過簡單的 PHP 例子來完成這個功能:
?php
$url = 'http://t11.baidu.com/it/u=3008889497,862090385fm=77';
$refer = 'https://www.baidu.com';
$ch = curl_init();
//以url的形式 進(jìn)行請求
curl_setopt($ch, CURLOPT_URL, $url);
//以文件流的形式 進(jìn)行返回 不直接輸出到瀏覽器
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
//瀏覽器發(fā)起請求 超時設(shè)置
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 30);
//偽造來源地址
curl_setopt ($ch, CURLOPT_REFERER, $refer);
$file = curl_exec($ch);
curl_close($ch);
header('Content-Type: text/html');
// 對圖片進(jìn)行base64編碼�,然后返回給前端展示
$file = base64_encode($file);
echo "img src='data:image/jpeg;base64,{$file}' />";
?>
我們第一次請求注釋了 偽造來源地址 這一行,第二次請求不注釋這一行�,這樣可以驗證執(zhí)行結(jié)果:
總結(jié)
盜鏈和反盜鏈?zhǔn)且粋€對立面,技術(shù)不斷升級����,最終的目標(biāo)也是為了開放資源和保護(hù)知識產(chǎn)權(quán)。在互聯(lián)網(wǎng)生態(tài)里����,我們通過反盜鏈保護(hù)我們的利益,也使用防反盜鏈的這種方式來擴(kuò)大我們的內(nèi)容�����,無論站在哪一方,都需要做到知己知彼����。
以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助�,也希望大家多多支持腳本之家。
您可能感興趣的文章:- php 偽造HTTP_REFERER頁面URL來源的三種方法
- PHP偽造來源HTTP_REFERER的方法實例詳解
- php中HTTP_REFERER函數(shù)用法實例
- 使用php偽造referer的方法 利用referer防止圖片盜鏈
- PHP利用REFERER根居訪問來地址進(jìn)行頁面跳轉(zhuǎn)
- php中XMLHttpRequest(Ajax)不能設(shè)置自定義的Referer的解決方法
- php中突破基于HTTP_REFERER的防盜鏈措施(stream_context_create)
- php獲取referer防非法訪問
