http协议之referer防盗链
什么是防盗链
以百度贴吧为例,在百度帖吧我们随便获取一张图片的url 链接如下: http://tiebapic.baidu.com/forum/w%3D580%3B/sign=dd259ee0be773912c4268569c8228718/63d0f703918fa0ec23dcbc50319759ee3d6ddb50.jpg
在浏览器打开是完全能显示出来的
一旦我们讲这个链接作用到我们的服务器上
index.php
<?php
echo "<img src='http://tiebapic.baidu.com/forum/w%3D580%3B/sign=dd259ee0be773912c4268569c8228718/63d0f703918fa0ec23dcbc50319759ee3d6ddb50.jpg'>";浏览器请求本地服务器
打开network状态码返回 403
可以看到图片没有被正常显示,这就是百度贴吧设置了防盗链
有时候我们,引用站外的图片就会出现上述情况,但是对方的服务器是如何知道这个请求是来自站外的呢?
聪明的你获取想到了--利用header头信息
利用referer做防盗链
我们观察两次访问的请求头 一次站内访问百度贴吧的图片,部分请求头
...
Host: tiebapic.baidu.com
Upgrade-Insecure-Requests: 1
...在本地服务器使用百度贴吧的图片
...
Host: tiebapic.baidu.com
Referer: http://localhost:8080/
...我们可以看到在本站访问外站的资源时多了一个请求头 referer referer:代表网页的来源,即上一页的地址 有了这个referer头,我们就不奇怪对方服务器为何知道我们的请求是来自站外的了、
如何配置apache服务器用于防盗链?
apache 在web服务器层面,根据http协议的referer头信息来判断,如果来自站外则统一重定向到一个仿盗链图片上去
步骤
1.打开apache重写模块 mod_rewrite
2.在需要防盗的网站或目录写 .htaccess文件
3.指定防盗链规则
打开apache重写模块 mod_rewrite
打开apache httpd.conf,搜索mod_rewrite,去掉注释,并重启apache
在需要防盗的网站或目录写 .htaccess文件
在 www/test新键 .htaccess文件并指定防盗链规则
//.htaccess
RewriteEngine On
# 作用的项目
RewriteBase /test
# 重写条件 :任意字符以图片后缀结尾且不区分大小写
RewriteCond %{REQUEST_FILENAME} .*\.(jpg|jpeg|png) [NC]
# 重写条件 http referer与localhost不匹配时
RewriteCond %{HTTP_REFERER} !localhost [NC]
# 重写规则 所有图片都重定向到某个地址
RewriteRule .* no.png在test目录有如下文件 正常.png no.png 当在本站点访问正常.png时
//index.php
<?php
echo "<img src='./正常.png'>";正常显示图片
模拟外站访问图片
如何配置nginx服务器用于防盗链?
来自 https://www.jianshu.com/p/97937992e523 在server段
location ~* \.(gif|jpg|png|jpeg)$ {
expires 30d;
valid_referers *.hugao8.com www.hugao8.com m.hugao8.com *.baidu.com *.google.com;
if ($invalid_referer) {
rewrite ^/ http://ww4.sinaimg.cn/bmiddle/051bbed1gw1egjc4xl7srj20cm08aaa6.jpg;
#return 404;
}
}腾讯云开发者
