为了资料不被白嫖，我学会了作网站的防盗链

本文收录在我的博客： www.chengxy-nds.top，同进步

下午摸鱼的时候遇到了一件有意思的事，在网上找到一个资源站，将资源站的 url 放到本身的博客里，想白嫖一波，结果在我本身的博客里连接失效了，折腾半天突然想起来，这个网站应该是作了防盗链处理。

什么是盗链

盗链是个什么操做，看一下百度给出的解释：盗链是指服务提供商本身不提供服务的内容，经过技术手段绕过其它有利益的最终用户界面（如广告），直接在本身的网站上向最终用户提供其它服务提供商的服务内容，骗取最终用户的浏览和点击率。受益者不提供资源或提供不多的资源，而真正的服务提供商却得不到任何的收益。

术语听得有点迷糊？那咱们简单的举个栗子：

平时咱们在TX网看新闻，里边有不少劲爆的图片、视频资源，天天吸引上亿的用户活跃浏览，赚着大把的广告费。

有一天一个穷比程序员小富突发奇想，也想建一个本身的网站吸引用户赚广告费，但苦于本身没有资源，他灵光一闪盯上了TX网，心想：要是把它的资源为我所用，这样就能借助TX的资源为本身赚钱。

因而他经过爬虫等一些列技术手段，把TX网资源拉取到本身的小富网，绕过了TX网的展现页面直接呈现给用户，达到了本身不提供资源又能赚钱的目的。

而如此作法却严重的损害了TX网的利益，不只分流了大量用户，并且因为小富网的大量间接资源请求，大大增长TX网服务器及带宽的压力。

TX网蛋糕被动，忍无可忍决定封杀小富网这类空手套白狼的站点，终于祭出防盗链系统，对除了在TX网本站之外发起的资源请求所有封杀，小富网无法再拉取资源，小富一会儿又成了穷比，嘤嘤嘤~

上边咱们简单的举例说了什么是网站的盗链，再总结的简单点就是小站点盗取大站点资源以此来获利的一种行为。

既然有人盗就会有人防盗，接下来在看看怎么防止盗链。

如何防盗链

防盗链在google，新浪，网易，天涯等，内容为主的网站应用的比较多，毕竟主要靠资源内容赚钱的嘛。

提到防盗链的实现原理得从HTTP协议提及，上边咱们说过设置防盗链之后，会对 “除了在TX网本站之外发起的资源请求所有封杀”，那么问题来了，如何识别一个请求URL是从哪一个站点发出的呢？

熟悉HTTP协议的小伙伴应该知道，在HTTP协议头里有一个叫referer的字段，经过referer 告诉服务器该网页是从哪一个页面连接过来的，知道这个就好办了，只要获取 referer 字段，一旦检测到来源不是本站即进行阻止或者返回指定的页面。

防盗链的核心理念：尽可能作到不让外站获取到个人资源，即使能经过一些手段获取到资源，也让你的获取过程异常繁琐复杂，没法实现自动化处理，或者干脆就给你有问题的资源恶心死你。

作防盗链的方法比较多，基于HTTP协议头的referer属性也只是其中一种，下边咱们来分析几种实现防盗链的方法，若是你有更好的实现方法欢迎留言哦。

基于 HTTP 协议的 referer

基于HTTP协议中的 referer作防盗链，能够从网关层或者利用AOP、Filter拦截器实现。

使用Nginx在网关层作防盗链，目前是最简单的方式之一。经过拦截访问资源的请求，valid_referers 关键字定义了白名单，校验请求头中referer地址是否为本站，如不是本站请求，rewrite 转发请求到指定的警告页面。

在 server 或者 location 配置模块中加入：valid_referers none blocked，其中 none : 容许没有http_refer的请求访问资源（好比：直接在浏览器输入图片网址）；blocked : 容许不是http://开头的，不带协议的请求访问资源。

注意：这种实现能够限制大多数普通的非法请求，但不能限制有目的的请求，由于能够经过伪造referer信息来绕过。

[root@server1 nginx]# vim conf/nginx.conf

      location / {
            root /web;
             index index.html;
      }
      location ~* \.(gif|jpg|png|jpeg)$ {
            root /web;
            valid_referers none blocked www.chengxy-nds.top;
            if ($invalid_referer){
                #return 403;
                rewrite ^/ https://img-blog.csdnimg.cn/20200429152123372.png;
         }
     }

     server {
         listen 80;
         server_name www.chengxy-nds.top;
         location / {
                 root /bbs;
                 index index.html;
         }
    }
    
[root@server1 nginx]# systemctl restart nginx

Filter拦截器的实现方式更加简单，拦截指定请求URL，拿到HttpServletRequest 中 referer值比对是否为本站。

public class MyFilter implements Filter {
    @Override
    public void doFilter(HttpServletRequest request, HttpServletResponse response,
            FilterChain chain) throws IOException, ServletException {
            
        HttpServletRequest req = (HttpServletRequest) request;
        HttpServletResponse res = (HttpServletResponse) response;
        String referer = req.getHeader("referer");
        
        if (referer == null || !referer.contains(req.getServerName())) {
            req.getRequestDispatcher("XXX.jpg").forward(req, res);
        } else {
            chain.doFilter(request, response);
        }
    }
}

登陆验证，禁止游客访问

登陆验证这种就属于一刀切的方式，通常在论坛、社区类网站使用比较多，无论你发起请求的站点是什么，到我这先登陆，没登陆请求直接拒绝，简单又粗暴。

图形验证码

图形验证码是一种比较常规的限制办法，好比：下载资源时，必须手动操做验证码，使爬虫工具没法绕过校验，起到保护资源的目的。

实现防盗链的方式还有不少，这里就不一一列举了（别问，问就是还有不少）。

总结

原本没想写这篇文章，下午搭建本身的博客整理资料，白嫖别人资源没成功有感而发，哈哈哈~ 正好借此机会简单的介绍一下防盗链的概念，提醒 everyone 在开发中要提升安全意识。其实盗链与防盗链就是像是矛与盾同样，说很差是矛更锋利仍是盾更坚固，作不到绝对的防盗。道高一尺魔高一丈，盗链的手段越高，相应的防盗技术也会越成熟。

---

原创不易，燃烧秀发输出内容

习惯在VX看技术文章，想要获取更多Java资源的同窗，能够关注个人公众号： 程序员内点事，暗号：[ 666]