防止非法盗链的几种解决方案

共 11163字,需浏览 23分钟

 ·

2024-05-13 21:07

来源:juejin.cn/post/7283798251403673600

推荐:https://t.zsxq.com/mWPvO

非法盗链概述

非法盗链指的是在未获得授权的情况下,将别人的资源(如图片、视频等)直接链接到自己的网站上,从而消耗他人的带宽和流量,并影响原始资源的安全性。

HTTP Referer请求头验证

通过检查HTTP头部中的 Referer字段,判断请求来源是否合法。只允许来自特定域名或IP地址的请求才能访问资源。这种方法较容易实施,不过存在一定的伪造风险。

Spring MVC项目

创建RefererFilter类实现Filter接口并重写3个方法,实现过滤逻辑。

在处理请求时判断请求头中的Referer字段,然后通过字符串比较或正则匹配可以判断请求来源是否合法,如果不合法可以返回错误信息或重定向到其他页面。

public class RefererFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
  System.out.println("初始化方法...");
    }

    /**
     * @param request
     * @param response
     * @param chain
     */

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
      System.out.println("拦截请求...");
      
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;
        //每次请求来源
        String referer = req.getHeader("referer");
        //获取请求地址
        String serverName = req.getServerName();
        
        System.out.println("referer:" + referer + "---serverName" + serverName);
        
        if (referer == null || !referer.contains(serverName)) {
            req.getRequestDispatcher("/static/images/error.png").forward(req, res);
            return;
        }
        //放行
        chain.doFilter(req, res);
    }


    @Override
    public void destroy() {
  System.out.println("销毁请求...");
    }
}

web.xml配置过滤器

<filter>
        <filter-name>RefererFilter</filter-name>
        <filter-class>cn.ybzy.demo.fileter.RefererFilter</filter-class>
</filter>

<filter-mapping>
        <filter-name>RefererFilter</filter-name>
        <url-pattern>/static/images/*</url-pattern>
</filter-mapping>

Spring Boot项目

创建一个拦截器来对 HTTP Referer 请求头进行验证

import org.springframework.web.servlet.HandlerInterceptor;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class RefererInterceptor implements HandlerInterceptor {
    // 允许的 referer
    private static final String ALLOWED_REFERER = "https://www.your-domain.com";

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        String referer = request.getHeader("Referer");
        // 如果请求头中的 Referer 不是允许的域名,则返回 403 错误
        if (referer == null || !referer.startsWith(ALLOWED_REFERER)) {
            response.sendError(HttpServletResponse.SC_FORBIDDEN);
            return false;
        }
        // 否则放行
        return true;
    }
}

通过 WebMvcConfigurer 接口和 addInterceptors 方法注册了名为 RefererInterceptor 的拦截器。

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(new RefererInterceptor());
    }
}

使用Nginx

可以使用Nginx通过配置实现非法盗链防护,主要使用valid_referers 参数

valid_referers:指定允许访问该网站资源的有效来源,可以设置为多个值,用空格分隔,如valid_referers example.com *.example.com; 表示只允许来自example.com或者其子域名的访问。

如果请求的 Referer 头不存在或者不在 valid_referers 中,则会将 $invalid_referer 设置为 1,进而返回 HTTP 状态码 403

具体实现如下:

location ~ .*\.(jpg|jpeg|JPG|png|gif|icon)$ {
    valid_referers blocked example.com *.example.com;
            if ($invalid_referer) {
                return 403;
            }
    }

限制访问权限

在资源服务器和客户端上分别进行配置,实现认证和授权机制。服务端可以使用JavaEE 中的Servlet、Filter 或Spring Security等框架来实现认证和授权。客户端则需要在请求中携带身份认证凭证,如tokensession id等

客户端发送请求时携带身份认证凭证:

# 用户身份认证凭证
String token = "123456789";
HttpURLConnection conn = (HttpURLConnection) new URL("https://qinglite-1253448069.cos.ap-shanghai.myqcloud.com/web/efc71f5df377a5b8c8e5b8ad978cdea4781bb0b6").openConnection();
// 在请求头中添加 Authorization 字段携带凭证
conn.setRequestProperty("Authorization""Bearer "+token); 

服务端进行认证:

// 获取请求头中的认证字段
String authHeader = request.getHeader("Authorization"); 

if(authHeader != null && authHeader.startsWith("Bearer ")){
// 提取认证凭证
String token = authHeader.substring(7); 
// TODO 对凭证进行校验或者查询授权信息
else{

}

动态生成链接

在服务端对每个请求生成唯一的一次性链接,在处理请求时验证该链接是否合法。可以使用Java中的UUID类来生成随机字符串作为链接的参数。这种方法能够有效保护资源的安全,但对服务器压力较大。

生成唯一带签名的链接

private static final String KEY = "YOUR_SECRET_KEY"// 设置秘钥

    /**
 * 传入原始链接作为参数,即可生成带有时间戳、随机数和签名的新链接
 * @param url 访问URL
 */

public static String generateLink(String url) throws NoSuchAlgorithmException {
    // 当前时间戳
    String timestamp = System.currentTimeMillis() + "";
    // 随机数
    String nonce = Long.toString(Math.round(Math.random() * 10000));
    // 签名内容
    String rawSignature = url + timestamp + nonce + KEY;
    // 使用 SHA-256 算法生成签名
    MessageDigest md = MessageDigest.getInstance("SHA-256");
    byte[] signature = md.digest(rawSignature.getBytes());
    // Base64 编码
    String encodedSignature = Base64.getEncoder().encodeToString(signature);
    // 生成链接
    String link = url + "?timestamp=" + timestamp + "&nonce=" + nonce + "&signature=" + encodedSignature;
    return link;
}

校验链接是否合法

校验步骤:

从链接中取出 timestamp、nonce 和 signature 三个参数

使用与链接生成时相同的秘钥、算法(SHA-256)和编码方式(Base64)对原始内容进行签名,获得新的签名值

比较从链接中获得的签名值和新的签名值是否一致

如果签名值一致,并且 timestamp 和 nonce 参数符合要求(如没有重复),则认为该链接是合法的
private static final String KEY = "YOUR_SECRET_KEY"// 设置秘钥

/**
 * 如果返回 true 则说明链接合法,可以继续访问
 * 如果返回 false,则说明链接不合法,需要返回错误信息或者重定向到其他页面
 * @param url 访问URL
 * @param timestamp 时间戳
 * @param nonce 随机数
 * @param signature 签名
 */

public static boolean isValidLink(String url, String timestamp, String nonce, String signature) throws NoSuchAlgorithmException {
    // 签名内容
    String rawSignature = url + timestamp + nonce + KEY;
    // 使用 SHA-256 算法生成签名
    MessageDigest md = MessageDigest.getInstance("SHA-256");
    byte[] newSignature = md.digest(rawSignature.getBytes());
    // Base64 编码
    String encodedSignature = Base64.getEncoder().encodeToString(newSignature);

    // 校验签名值和其他参数
    return encodedSignature.equals(signature);
}

测试

public static void main(String[] args) throws Exception {
    String link = DynamicLink.generateLink("/test");
    // link = /test?timestamp=1683100020877&nonce=9081&signature=vD2S/Ki7a/SLhRj19mcqDmylKKO3OTKTtpA/CUZJMg0=
    System.out.println("link = " + link);

    boolean validLink = DynamicLink.isValidLink("/test""1683100020877""9081""vD2S/Ki7a/SLhRj19mcqDmylKKO3OTKTtpA/CUZJMg0=");
    System.out.println("validLink = " + validLink);
}
link = /test?timestamp=1683100020877&nonce=9081&signature=vD2S/Ki7a/SLhRj19mcqDmylKKO3OTKTtpA/CUZJMg0=
validLink = true

添加水印

在资源服务器上进行配置,在服务端对资源进行加水印处理,并在客户端显示处理后的结果。Java可以使用Graphics2D工具类来添加水印。

CDN防盗链

利用CDN服务商的防盗链功能,限制只有经过授权的域名才能访问资源。

访问频率限制

通过IP地址或用户会话ID等方式限制同一客户端在一段时间内对资源的访问频率,防止非法爬取和盗链。

浏览 55
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报