利用referer防止盗链下载

时间 2019-12-24

标签利用 referer 防止下载繁體版

原文原文链接

1、首先了解下 referer 的原理

request.getHeader("referer")

在开发web程序的时候，有时咱们须要 获得用户是从什么页面连过来的，这就用到了referer。

它是http协议，因此任何能开发web程序的语言均可以实现,好比jsp中是：

request.getHeader("referer");

php是$_SERVER['HTTP_REFERER']。其余的我就不举例了（实际上是不会其余的语言）。

那它能干什么用呢？我举两个例子：

1，防止盗连，好比我是个下载软件的网站，在下载页面我先用referer来判断上一页面是否是本身网站，若是不是，说明有人盗连了你的下载地址。

2，电子商务网站的安全，我在提交信用卡等重要信息的页面用referer来判断上一页是否是本身的网站，若是不是，多是黑客用本身写的一个表单，来提交，为了能跳过你上一页里的javascript的验证等目的。

使用referer的注意事项：

若是我是直接在浏览器里输入有referer的页面，返回是null（jsp），也就是说referer只有从别的页面点击链接来到这页的才会有内容。

我作了个实验，好比个人referer代码在a.jsp中，它的上一页面是b.htm，c.htm是一个带有iframe的页面，它把a.jsp嵌在iframe里了。我在浏览器里输入b.htm的地址，而后点击链接去c.htm，那显示的结果是b.htm，

若是我在浏览器里直接输入的是c.htm那显示的是c.htm

referer是浏览器在用户提交请求当前页面中的一个连接时,将当前页面的URL放在头域中提交给服务端的,如当前页面为a.html,它里面有一个b.html的连接,当用户要访问b.html时浏览器就会把a.html做为referer发给服务端.

2、那么如何运用"referer" 来防止盗链下载呢
咱们考虑了用filter实现

public class DefendSteal implements Filter
{

	protected FilterConfig filterConfig;
	protected String[] allowsites;
	protected String[] files;
    public DefendSteal()
    {
   
    }

    public void destroy()
    {

    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException
    {
    	HttpServletRequest req = (HttpServletRequest)request;
    	HttpServletResponse res = (HttpServletResponse)response;
        String suff = req.getRequestURL().substring(req.getRequestURL().lastIndexOf(".")+1);
        System.out.println("referer:"+req.getHeader("referer"));
        for(int j=0;j<this.files.length;j++){//判断是否有须要阻止的文件类型
        	if(suff.equalsIgnoreCase(this.files[j])){
                if(req.getHeader("referer")==null||"".equals(req.getHeader("referer"))){//这种状况是直接访问实体文件,可防止下载
                	res.sendRedirect(req.getContextPath()+"/NotExist.html");
                }else{
                	int i=0;
                	for(i=0;i<this.allowsites.length;i++){
                		if(req.getHeader("referer").indexOf(allowsites[i])>=0){
                    		break;
                    	}
                	}
                	if(i==this.allowsites.length){//不在容许站点列表里,则阻止,这种状况是盗链
                		res.sendRedirect(req.getContextPath()+"/NotExist.html");
                	}
                }
                break;
            }
        }
        chain.doFilter(request, response);
    }

    public void init(FilterConfig filterConfig)
        throws ServletException
    {
        this.filterConfig = filterConfig;
        String strSite = filterConfig.getInitParameter("allowsite");
        allowsites = strSite.split(";");
        String strfile = filterConfig.getInitParameter("file");
        files = strfile.split(";");
    }
}

对应的web.xml文件配置以下：

在web.xml中加下以下:

<filter>
    <filter-name>DefendSteal</filter-name>
    <filter-class>filters.DefendSteal</filter-class>
    <init-param>
      <param-name>allowsite</param-name>
      <param-value>172.19.33.48;172.19.33.91</param-value>
    </init-param>
    <init-param>
      <param-name>file</param-name>
      <param-value>flv;gif</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>DefendSteal</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

Allowsite为否充访问的站点 File 为被监测的文件类型附：深刻理解HTTP协议 http://www.blogjava.net/zjusuyong/articles/304788.html