HTTP 笔记与总结(6)referer 头与防盗链
在百度贴吧(或 QQ 空间等)中找到一张图片,复制图片地址,在站外通过 img src 引用,会发现:
此外,在一些统计软件中,统计访客的来路(直接访问、外部链接、搜索引擎),都用到了 HTTP 协议请求头中 Referer 的知识。
【例】直接访问 www.baidu.com 和 在通过本地页面跳转至 www.baidu.com,观察 HTTP 请求头信息的差异:
① 直接访问百度,HTTP 请求头信息:
② 通过本地 referer.html 跳转至 www.baidu.com:
HTTP 协议头信息的 Referer 选项代表网页的来源(上一页的地址),如果是直接访问(直接在浏览器输入地址访问),则没有 Referer 选项。
配置 Apache 服务器用于图片防盗链
原理:在 web 服务器层面,根据 http 协议的 referer 头信息来判断网页来源,如果来自站外,则统一重写到一个很小的防盗链题型图片上(URL 重写)。
步骤:
① 打开 apache 重写模块 rewrite_mod。重启 apache。
② 在需要防盗链的网站或目录下,写 .htaccess 文件,并指定防盗链规则 —— 分析 referer,如果不是来自本站,则重写
例如在 127.0.0.17/php/http/ 目录下新建 .htaccess 文件,写入重写规则:
当是 jpg/jpeg/gif/png 图片 ,且 referer 头与 127.0.0.17 不匹配时重写,统一 Rewrite 到某个防盗链图片
重写方式参见:apache 手册
D:\practise\php\http\.htaccess:
RewriteEngine On RewriteCond %{REQUEST_FILENAME} .*\.(jpg|jpeg|gif|png) [NC] RewriteCond %{HTTP_REFERER} !127.0.0.17 [NC] RewriteRule .* http://127.0.0.17/php/logo.jpg
第 1 行:开启重写功能;
第 2 行:当请求的文件名以 .jpg,.jpeg,.gif,.png 结尾时
第 3 行:当 HTTP 的 Referer 头 与 服务器地址 127.0.0.17 不匹配时
第 4 行:重写规则,把符合条件的文件重写到 http://127.0.0.17/php/http/logo.jpg 上
实例:
D:\practise\php\logo.jpg:
D:\practise\php\http\a.jpg:
站内地址(127.0.0.17,D:\practise),站外地址(127.0.0.16,D:\practise\php)。也就是说,127.0.0.16 上的文件外链 127.0.0.17 上的 a.jpg 时,会被重写至 logo.jpg。
http://127.0.0.17/php/http/referer.html:
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Document</title>
</head>
<body><img src="./a.jpg" alt="">
</body>
</html>
输出:
http://127.0.0.16/http/referer.html:
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Document</title>
</head>
<body><img src="./http/a.jpg" alt="">
</body>
</html>
输出:
防盗链功能实现。
如果把 .htaccess 放在根目录,则网站所有的图片都会受到影响;如果只要对某个目录生效,则在 .htaccess 中加上:
Rewrite Base /php/http
采集图片功能(通过设置 Referer 头信息,绕过防盗链)
先测试通过 HTTP GET 请求图片
caiji.php:
<?php
require './http.class.php';$http = new Http('http://127.0.0.17/php/http/a.jpg');echo $res = $http->get();
输出:
修改 http.class.php line:72(增加判断 $url['query'],防止出现 Notice 级别的错误):
1 <?php 2 /* 3 PHP + socket 编程 4 @发送 HTTP 请求 5 @模拟下载 6 @实现注册、登录、批量发帖 7 */ 8 9 //http 请求类的接口 10 interface Proto{ 11 //连接 url 12 function conn($url); 13 14 //发送 GET 请求 15 function get(); 16 17 //发送 POST 请求 18 function post(); 19 20 //关闭连接 21 function close(); 22 } 23 24 class Http implements Proto{ 25 26 //换行符 27 const CRLF = "\r\n"; 28 29 //fsocket 的错误号与错误描述 30 protected $errno = -1; 31 protected $errstr = ''; 32 33 //响应内容 34 protected $response = ''; 35 36 protected $url = null; 37 protected $version = 'HTTP/1.1'; 38 protected $fh = null; 39 40 protected $line = array(); 41 protected $header = array(); 42 protected $body = array(); 43 44 public function __construct($url){ 45 $this->conn($url); 46 $this->setHeader('Host:' . $this->url['host']); 47 } 48 49 //写请求行 50 protected function setLine($method){ 51 $this->line[0] = $method . ' ' . $this->url['path'] . '?' . $this->url['query'] . ' ' . $this->version; 52 } 53 54 //写头信息 55 public function setHeader($headerline){ 56 $this->header[] = $headerline; 57 } 58 59 //写主体信息 60 protected function setBody($body){ 61 //构造 body 的字符串 62 $this->body[] = http_build_query($body); 63 } 64 65 //连接 url 66 public function conn($url){ 67 $this->url = parse_url($url); 68 //判断端口 69 if(!isset($this->url['port'])){ 70 $this->url['port'] = 80; 71 } 72 //判断 query 73 if(!isset($this->url['query'])){ 74 $this->url['query'] = ''; 75 } 76 $this->fh = fsockopen($this->url['host'], $this->url['port'], $this->errno, $this->errstr, 3); 77 } 78 79 //构造 GET 请求的数据 80 public function get(){ 81 $this->setLine('GET'); 82 //发送请求 83 $this->request(); 84 return $this->response; 85 } 86 87 //构造 POST 请求的数据 88 public function post($body = array()){ 89 //构造请求行 90 $this->setLine('POST'); 91 92 //设置 Content-type 和 Content-length 93 $this->setHeader('Content-type: application/x-www-form-urlencoded'); 94 95 //构造主体信息, 和 GET 请求不一样的地方 96 $this->setBody($body); 97 98 $this->setHeader('Content-length: ' . strlen($this->body[0])); 99 100 //发送请求 101 $this->request(); 102 return $this->response; 103 } 104 105 //发送请求 106 public function request(){ 107 //把请求行、头信息、主体信息拼接起来 108 $req = array_merge($this->line, $this->header, array(''), $this->body, array('')); 109 $req = implode(self::CRLF, $req); 110 //echo $req;exit; 111 112 fwrite($this->fh, $req); 113 114 while(!feof($this->fh)){ 115 $this->response .= fread($this->fh, 1024); 116 } 117 118 //关闭连接 119 $this->close(); 120 } 121 122 //关闭连接 123 public function close(){ 124 fclose($this->fh); 125 } 126 }
View Code
测试防盗链:
caiji.php
1 <?php 2 require './http.class.php'; 3 4 $http = new Http('http://127.0.0.17/php/http/a.jpg'); 5 6 $res = $http->get(); 7 8 //取出 图片二进制码(和 HTTP 头信息中间有一个空行 \r\n,加上空行之前的换行\r\n,一共4个字节) 9 $res = file_put_contents('./b.jpg', substr(strstr($res, "\r\n\r\n"), 4)); 10 echo 'complete';
运行之后,因为没有 Referer 头信息,因此被认为是盗链,生成的 b.jpg 变成了 “不要盗链”:
在 caiji.php 中加入 Referer 头信息后:
caiji.php
1 <?php 2 require './http.class.php'; 3 4 $http = new Http('http://127.0.0.17/php/http/a.jpg'); 5 $http->setHeader('Referer:127.0.0.17'); 6 $res = $http->get(); 7 8 //取出 图片二进制码(和 HTTP 头信息中间有一个空行 \r\n,加上空行之前的换行\r\n,一共4个字节) 9 $res = file_put_contents('./b.jpg', substr(strstr($res, "\r\n\r\n"), 4)); 10 echo 'complete';
此时采集到的 b.jpg 绕过了防盗链正常的显示了:
待完善:应该判断 response 的 MIME 头信息,确定图片的类型,再把文件写入相应类型的文件中。
转载于:https://www.cnblogs.com/dee0912/p/4646739.html
HTTP 笔记与总结(6)referer 头与防盗链相关推荐
- nginx利用referer指令实现防盗链配置
nginx模块ngx_http_referer_module通常用于阻挡来源非法的域名请求,我们应该牢记.下面这篇文章主要介绍了nginx利用referer指令实现防盗链配置的相关资料,需要的朋友可以 ...
- 判断request请求头中的referer实现的防盗链操作
通俗的来讲,跨站访问资源,被称为盗链.比如某一个商业网站,有很多自主版权的图片,自身展示用于商业目的.而另一个没有版权的网站,希望在自己的网站上面也展示这些图片,直接使用超链接到有版权的网站,这样以来 ...
- 微信图片防盗链笔记(转:破解微信图片防盗链)
首先,引用微信的图片遇到的情况: 解决: 1.尝试在html头中加入<meta name="referrer" content="never"> 问 ...
- HttpServletRequest通过Referer实现简单防盗链
我们知道在http中请求头中有一个referer来表示请求来自于哪里,于是我们就可以通过这个请求来判断是不是应该非法的请求,例如没有登录就直接进行访问.下面用Referer来实现应该简单的防盗链. ...
- js修改referer 解决图片防盗链问题
最近在项目中遇到了一个问题就是项目中需要显示其他网站上的图片,网上找了好多,但是没有一个具体的代码策略,我在这里给大家提供一个方案. 先说说防盗链的原理,http 协议中,如果从一个网页跳到另一个网页 ...
- 获取referer中的请求参数_javaweb之request获取referer请求头实现防盗链
在开发web程序的时候,有时我们需要得到用户是从什么页面连过来的,这就用到了referer. 它是http协议,所以任何能开发web程序的语言都可以实现,比如jsp中是: request.getHea ...
- 基于NodeJS的HTTP server Plus 2:防盗链(referer)
什么是 "盗链"? "盗链" 说白了就是利用别人网站的资源链接放在自己的站点,在未经允许的情况下去获取别人网站里面的图片或者视频等资源,导致资源所有者的网站的流 ...
- 【JavaWeb开发】Referer防盗链的详解
1. 什么是Referer? Referer 是 HTTP 请求(requset) header 的一部分,当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里就有包含 Refere ...
- html设置referer防盗链,referer与防盗链
referer是什么 referer 中文意思是:参照页面,引用页. 下图直观感受,(づ ̄ 3 ̄)づ image 直接在浏览器中输入url地址来直接访问图片/js/css等资源时是没有referer的 ...
- referer与防盗链
referer是什么 referer 中文意思是:参照页面,引用页. 下图直观感受,(づ ̄ 3 ̄)づ 直接在浏览器中输入url地址来直接访问图片/js/css等资源时是没有referer的, 如果有r ...
最新文章
- 关于commonjs,AMD,CMD之间的异同
- UA MATH567 高维统计专题3 含L1-norm的凸优化6 Stochastic Gradient Descent简介
- 深入解读:KubeVela 与 PaaS 有何不同?
- 如何把你的Windows PC变成瘦客户机
- vsflexgrid单元格换行后自动使用行高_「Excel技巧」Excel关于换行的技巧,你懂多少?...
- 第二章: 第二课 内容处理-插入图片
- Oracle复习(知识点、练习题、实验)
- 信安教程第二版-第16章网络安全风险评估技术原理与应用
- lynx命令调用php脚本,lynx
- mysql redis geo_利用Redis的Geo功能实现查找附近的位置
- 《C关键字分析》之extern用法
- hpuoj--校赛--特殊的比赛日期(素数判断+模拟)
- sublime text3之使用等宽字体
- 【5G核心网】 GTP协议
- PHP中根据汉字返回拼音
- 彩色图像的空间域滤波
- TypeError: AMap.MouseTool is not a constructor TypeError: AMap.MouseTool is not a constructor
- C语言 | 数组升序排列(冒泡排序法)
- Java爬取网页数据
- Python与Excel——Xlwings基础操作
热门文章
- 系统类配置(三)【ubuntu14.04或者ubuntu16.04 配置caffe】
- linux系统下find命令的使用
- android studio bug : aidl is missing 解决方案
- 设计模式12——代理模式
- 21点游戏java实现
- Uiautomator之入门
- 【转】MySQL 复制的基本过程如下:
- [转]训练集和测试集的含义和区别?
- [漏洞案例]thinkcmf 2.x从sql注入到getshell实战
- 【C/C++】【VS开发】结构体存储空间数据对齐说明