Asp.Net Core 通过中间件防止图片盗链

一、原理

  要实现防盗链,我们就必须先理解盗链的实现原理,提到防盗链的实现原理就不得不从HTTP协议说起,在HTTP协议中,有一个表头字段叫referer,采用URL的格式来表示从哪儿链接到当前的网页或文件。换句话说,通过referer,网站可以检测目标网页访问的来源网页,如果是资源文件,则可以跟踪到显示它的网页地址。有了referer跟踪来源就好办了,这时就可以通过技术手段来进行处理,一旦检测到来源不是本站即进行阻止或者返回指定的页面。如果想对自己的网站进行防盗链保护,则需要针对不同的情况进行区别对待。   如果网站服务器用的是apache,那么使用apache自带的Url Rewrite功能可以很轻松地防止各种盗链,其原理也是检查refer,如果refer的信息来自其他网站则重定向到指定图片或网页上。   如果服务器使用的是IIS的话,则需要通过第三方插件来实现防盗链功能了,现在比较常用的一款产品叫做ISAPI_Rewrite,可以实现类似于apache的防盗链功能。另外对于论坛来说还可以使用“登录验证”的方法进行防盗链。

二、实现防盗链

  现在让我们在ASP.NET Core中实现防盗链技术来保护我们的应用程序和站点文件。这就要通过ASP.NET Core中的中间件技术,监听并处理所有传入的请求,检查这些请求是不是来自我们的应用程序。

  让我们来创建这个防盗链的中间件程序:

public class HotlinkingPreventionMiddleware
{
    private readonly string _wwwrootFolder;
    private readonly RequestDelegate _next;

    public HotlinkingPreventionMiddleware(RequestDelegate next, IHostingEnvironment env)
    {
        _wwwrootFolder = env.WebRootPath;
        _next = next;
    }

    public async Task Invoke(HttpContext context)
    {
        var applicationUrl = $"{context.Request.Scheme}://{context.Request.Host.Value}";
        var headersDictionary = context.Request.Headers;
        var urlReferrer = headersDictionary[HeaderNames.Referer].ToString();

        if(!string.IsNullOrEmpty(urlReferrer) && !urlReferrer.StartsWith(applicationUrl))
        {
            var unauthorizedImagePath = Path.Combine(_wwwrootFolder,"Images/Unauthorized.png");
                
            await context.Response.SendFileAsync(unauthorizedImagePath);
        }
            
        await _next(context);
    }
}

  在这个中间件中我们可以看到ASP.NET Core中的Request对象并没有对Referrer进行封装,想获取Referrer,就要通过HTTP头信息(Headers)进行访问。

  一般都要有一个IApplicationBuilder扩展:

public static class BuilderExtensions
{
    public static IApplicationBuilder UseHotlinkingPreventionMiddleware(this IApplicationBuilder app)
    {
        return app.UseMiddleware();
    }
}

  最后,使用它只需要在Configure函数中调用,上面的扩展函数。

app.UseHotlinkingPreventionMiddleware();

三、真能防?

  如何突破防盗链?针对检查refer的方式,可以在页面中间件里面先进入目的地址的另外一个页面在转到目的页面即可,这样页面的refer就是目的站点自己的,如此,即做到突破。这方面可以使用的工具很多,尤其是成熟的web项目测试包,如HtmlUnit,直接在请求中设置refer都是可以的。

  如果盗用网站是 https 的 protocol,而图片链接是 http 的话,则从 https 向 http 发起的请求会因为安全性的规定,而不带 referer,从而实现防盗链的绕过。

  最后,我只能说这种方式,只能在一定程度上进行防御,不可能杜绝所有的攻击,还是建议使用成熟服务器应用的方案,比如Nginx。

GitHub:https://github.com/maxzhang1985/YOYOFx  如果觉还可以请Star下, 欢迎一起交流。

.NET Core 开源学习群: 214741894

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Timhbw博客

『工具』修复windows下各种.dll缺失或者其他组件

2016-03-0413:45:50 发表评论 417℃热度 DirectX修复工具(DirectX Repair)是一款系统级工具软件,简便易用。本程序为绿...

37460
来自专栏大内老A

ASP.NET的路由系统:URL与物理文件的分离

表现为请求地址与目标Controller和Action的动态映射的URL路由系统并不是专属于ASP.NET MVC,而是直接建立在ASP.NET 中。ASP.N...

21980
来自专栏逸鹏说道

SQLServer执行命令出现“目录无效的提示”

异常处理汇总-数据库系列 http://www.cnblogs.com/dunitian/p/4522990.html ? 一般都是清理垃圾清理过头了,把不该...

39870
来自专栏AhDung

【C#】给无窗口的进程发送消息

一个winform程序,我希望它不能多开(但是如何防多开不是本文要讲的),那么在用户启动第二个实例的时候,作为第二个实例来说,大概可以有这么几种做法:

28030
来自专栏技术小站

Python3 Scrapy 安装方法

转自:https://blog.csdn.net/zjiang1994/article/details/52689144

14320
来自专栏友弟技术工作室

常用python爬虫框架整理Python中好用的爬虫框架1.Scrapy2.PySpider3.Crawley4.Portia5.Newspaper6.Beautiful Soup7.Grab8.Co

一般比价小型的爬虫需求,我是直接使用requests库 + bs4就解决了,再麻烦点就使用selenium解决js的异步 加载问题。相对比较大型的需求才使用框架...

16130
来自专栏前端儿

【转】http-equiv="X-UA-Compatible" 设置IE浏览器兼容模式详解

文件兼容性用于定义让IE如何编译你的网页。此文件解释文件兼容性,如何指定你网站的文件兼容性模式以及如何判断一个网页该使用的文件模式。

35010
来自专栏安富莱嵌入式技术分享

【RL-TCPnet网络教程】第31章 Telnet远程登录基础知识

本章节为大家讲解Telnet (Teletype Network) 的基础知识,方便后面章节的实战操作。

11220
来自专栏木制robot技术杂谈

Scrapy爬虫框架教程(四)-- 抓取AJAX异步加载网页

Scrapy爬虫框架教程(一)– Scrapy入门 Scrapy爬虫框架教程(二)– 爬取豆瓣电影TOP250 Scrapy爬虫框架教程(三)– 调试(Debu...

75690
来自专栏MixLab科技+设计实验室

设计师编程指南之Sketch插件开发 10 - skpm & webview

往期文章索引: 1 / 入门基本概念、page的相关操作 2 / artboard 、NSFileManager 和 NSString 关于文件及文件夹的相关操...

49270

扫码关注云+社区

领取腾讯云代金券