整理常见实现防盗链功能的方案

admin

2025年1月9日 10:6 本文热度 49

在热门平台上有许多的热点新闻，热门的图片、视频等资源，每天都吸引大量的用户观看和下载。于是就有攻击者通过爬虫等一系列技术手段，把热门平台上的资源拉取到自己的网站然后呈现给用户，从而攻击者达到了即不用提供资源也能赚钱的目的，如下图所示盗取资源的过程图：

为此，热门平台为了防止其他的小站点盗取其资源，于是就使用防盗链来保护自身资源不被窃取。下面我们聊聊常见的几种防盗链实现方案。

1、Nginx实现方案

在HTTP协议头里有一个Referer的字段，Referer可以告诉服务器该网页请求是从哪里链接过来的，如下的请求头截图：

那么可以利用请求头上的Referer携带的值，使用Nginx在网关层做防盗链，这个也是最简单的实现防盗链功能的方式之一。

Nginx通过拦截访问资源的请求，通过valid_referers关键字定义的白名单，校验请求头中Referer地址是否为本站，如不是本站请求，那么就拒绝这个请求的访问，Nginx的配置如下所示：

location ~*\.(gif|jpg|png|jpeg)$ {    root /web;    valid_referers none blocked www.longxiabiancheng.com;    if($invalid_referer){        return 403;    }}

Nginx的方式可以限制大多数普通的非法请求，但不能限制有针对性的攻击请求，因为攻击者可以通过伪造Referer信息来绕过Nginx的检查。

2、SpringBoot的过滤器实现方案

过滤器同样是使用Referer的原理，在SpringBoot中声明一个过滤器，然后获取到当前请求头当中的Referer，如下代码所示：

public class MyResourceFilter implements Filter {    @Override    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {        HttpServletRequest request = (HttpServletRequest) servletRequest;        HttpServletResponse response = (HttpServletResponse) servletResponse;        //获取referer        String referer =request.getHeader("Referer");        //指定通过的域名        String allowedDomain = "https://www.longxiabiancheng.com";        //如果不是可以通过的域名，直接返回        if(StringUtils.isEmpty(referer) || !referer.startsWith(allowedDomain)){            response.getWriter().write("longxiabiancheng");            return;        }    }}

过滤器中通过比对Referer中的来源，如果它不是我们允许的来源，那么就直接拒绝请求。其实攻击者依然可以伪装Referer，所以还是无法彻底解决资源被盗取的问题。

3、token验证的实现方案

用户登录之后服务器通过生成一个token，然后每次用户请求后端都需要将token携带给服务器，如果请求中没有token或者token解析失败，就直接拒绝请求的访问。

但是这种方式攻击者依然可以通过先请求我们的登录接口拿到token后，然后把token放在请求头上，继而达到伪装成正常的用户请求，这样就绕过token验证。

4、时间戳验证方案

正常的用户打开一个网页之后总会停留一定的时间，即使此用户停留的再短也会比其他的窃取工具（如爬虫）停留的时间长，利用这个特点在每次响应客户端的时候，后端给客户端响应一个时间戳，然后前端携带这个时间戳请求后端接口，后端拿到时间戳后与当前的时间做比对，核心的代码如下所示：

private boolean checkTime(HttpServletRequest request, HttpServletResponse response) {        //获取时间戳        String timestampStr = request.getParameter("timestamp");
        try {            //时间戳不存在，直接拒绝访问            if (timestampStr == null) {                response.getWriter().write("不可以继续访问哦");                return false;            }
            long timestamp = Long.parseLong(timestampStr);            long currentTimestamp = new Date().getTime();            //如果停留的时间大约指定的时间  就认为不是机器            if (Math.abs(currentTimestamp - timestamp) < 500) {                response.getWriter().write("不可以继续访问哦!");                return false;            }            return true;        } catch (Exception e) {            return false;        }    }

请求种的时间戳与当前的时间计算差值，如果差值大于设定的值，我们就认为是正常用户的请求，反之认定为盗窃用户请求，则拒绝访问。时间戳的方式也存在一定的误判，用户可能确实就在网页上停留很短的时间。

5、图形验证码的实现方案

图形验证码是一种比较常规的限制办法，在下载资源，浏览关键信息的时候，都必须要求用户手动操作验证码，典型的图形验证码如下所示：

使用图形验证码使得一般的爬虫工具无法绕过校验，从而起到保护资源的目的。

防盗链其实不是百分之百可以防住资源被盗窃的问题，它只能增加破解的难度，因为只要网站的数据能够正常访问，那攻击者就能伪装成正常用户来窃取数据。在一些大公司中，他们会去结合大数据分析用户的行为，将一些不正常的用户行为定义到黑名单中，然后在黑名单上的用户请求会被拦截。

该文章在 2025/1/9 10:06:21 编辑过

关键字查询

实现

方案

功能

正在查询...

点晴ERP是一款针对中小制造业的专业生产管理软件系统,系统成熟度和易用性得到了国内大量中小企业的青睐。

点晴PMS码头管理系统主要针对港口码头集装箱与散货日常运作、调度、堆场、车队、财务费用、相关报表等业务管理，结合码头的业务特点，围绕调度、堆场作业而开发的。集技术的先进性、管理的有效性于一体，是物流码头及其他港口类企业的高效ERP管理信息系统。

点晴WMS仓储管理系统提供了货物产品管理,销售管理,采购管理,仓储管理,仓库管理,保质期管理,货位管理,库位管理,生产管理,WMS管理系统,标签打印,条形码,二维码管理,批号管理软件。

点晴免费OA是一款软件和通用服务都免费，不限功能、不限时间、不限用户的免费OA协同办公管理系统。