问题
当我们访问一个图片不是来源与我们的服务器时,并且对方图片服务器做了防盗链机制。
我们防卫图片就可能会变成403,不能正常访问。
防盗链原理
http协议中,从一个网页跳到另一个网页中,http头字段会带有Referer,图片服务器通过检测Referer是否来自规定域名,来进行防盗链。
破解防盗链
1.referer为空
若不发送Referer,也就没有来源,图片服务器就会认为是浏览器直接访问的,可以正常加载图片。
a:https访问http,如果盗用图片的网站是https,而图片链接是http的话,从https向http发送请求因为
安全规定,而不带referer,实现绕过防盗链。
b:若开启隐私模式的浏览器,在https页面的引用下,referer是空的
c:设置请求头
Nodejs:
res.writeHead(200, {
'Content-Type': 'image/*'
});
let url = req.query.url;
if (!url) {
res.send("");
return false;
}
superagent.get(req.query.url)
.set('Referer', '')
.set("User-Agent",
'User-Agent:Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.80 Safari/537.36 Core/1.47.933.400 QQBrowser/9.4.8699.400'
)
.end(function(err, result) {
if (err) {
//res.send(err);
return false;
}
res.end(result.body);
return;
});
2.用iFrame伪造请求referer
function showImg( url ) {
var frameid = 'frameimg' + Math.random();
window.img = '<img id="img" src=\''+url+'?'+Math.random()+'\' /><script>window.onload = function() { parent.document.getElementById(\''+frameid+'\').height = document.getElementById(\'img\').height+\'px\'; }<'+'/script>';
document.write('<iframe id="'+frameid+'" src="javascript:parent.img;" frameBorder="0" scrolling="no" width="100%"></iframe>');
}
3.meta标签控制referer
设置:<meta name="referrer" content="never"> 页面请求不会带上referer
防御防盗链
1.不允许referer为空 (不建议,因在某些开启隐私模式的浏览器中,或https页面引用下,referer是空的)
2、地址变更(lighttpd的是根据有效时间,nginx的根据是md5,IP地址变化)
3、登录校验(如必须登录网站帐号后才能访问)
防置网站被iframe
<script type=”text/javascript>
if(window!=parent)
window.top.location.href = window.location.href;
< /script>
Demo
var express = require('express'),
path = require('path'),
app = express();
var AntiLeech = require('express-anti-leech');
// 允许引用的域名白名单
var hosts = ['localhost', 'localhost:8004'];
// 反盗链类型
var exts = ['.png', '.jpg', '.jpeg', '.gif', '.swf', '.flv'];
// 盗链默认指向图片
var pictrue = "/images/default.png";
app.use(AntiLeech({
allow: hosts,
exts: exts,
log: console.log, // 你也可以使用自己的方法来记录
default: pictrue
}));
// 请在调用静态资源之前先使用反盗链模块
app.use(express.static(path.join(__dirname, 'public')));
app.set('port', process.env.PORT || 8004);
app.get('/', function(req, res) {
res.redirect("/index.html");
});
app.listen(app.get('port'), function() {
console.log("Express test server listening on http://localhost:" + app.get('port'));
});
nginx防盗链
location ~* \.(gif|jpg|png|bmp)$ {
valid_referers none blocked *.xxx.com server_names ~\.google\. ~\.baidu\.;
if ($invalid_referer) {
return 403;
#rewrite ^/ http://www.xxx.com/403.jpg;
}
}
