图片403的问题

问题

当我们访问一个图片不是来源与我们的服务器时,并且对方图片服务器做了防盗链机制。
我们防卫图片就可能会变成403,不能正常访问。

防盗链原理

http协议中,从一个网页跳到另一个网页中,http头字段会带有Referer,图片服务器通过检测Referer是否来自规定域名,来进行防盗链。

破解防盗链

1.referer为空
若不发送Referer,也就没有来源,图片服务器就会认为是浏览器直接访问的,可以正常加载图片。

a:https访问http,如果盗用图片的网站是https,而图片链接是http的话,从https向http发送请求因为  

安全规定,而不带referer,实现绕过防盗链。

b:若开启隐私模式的浏览器,在https页面的引用下,referer是空的

c:设置请求头

    Nodejs:
res.writeHead(200, {
    'Content-Type': 'image/*'
});
let url = req.query.url;
if (!url) {
    res.send("");
    return false;
}
superagent.get(req.query.url)
    .set('Referer', '')
    .set("User-Agent",
        'User-Agent:Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.80 Safari/537.36 Core/1.47.933.400 QQBrowser/9.4.8699.400'
    )
    .end(function(err, result) {
        if (err) {
            //res.send(err);
            return false;
        }
        res.end(result.body);
        return;
    });

2.用iFrame伪造请求referer

function showImg( url ) {
        var frameid = 'frameimg' + Math.random();
        window.img = '<img id="img" src=\''+url+'?'+Math.random()+'\' /><script>window.onload = function() { parent.document.getElementById(\''+frameid+'\').height = document.getElementById(\'img\').height+\'px\'; }<'+'/script>';
        document.write('<iframe id="'+frameid+'" src="javascript:parent.img;" frameBorder="0" scrolling="no" width="100%"></iframe>');
}

3.meta标签控制referer

设置:<meta name="referrer" content="never"> 页面请求不会带上referer

防御防盗链

1.不允许referer为空 (不建议,因在某些开启隐私模式的浏览器中,或https页面引用下,referer是空的)
2、地址变更(lighttpd的是根据有效时间,nginx的根据是md5,IP地址变化)
  3、登录校验(如必须登录网站帐号后才能访问)

防置网站被iframe

<script type=”text/javascript> 
if(window!=parent) 
window.top.location.href = window.location.href; 
< /script>

Demo

var express = require('express'),
  path = require('path'),
  app = express();
  
var AntiLeech = require('express-anti-leech');

// 允许引用的域名白名单
var hosts = ['localhost', 'localhost:8004'];

// 反盗链类型
var exts = ['.png', '.jpg', '.jpeg', '.gif', '.swf', '.flv'];

// 盗链默认指向图片
var pictrue = "/images/default.png";

app.use(AntiLeech({
  allow: hosts,
  exts: exts,
  log: console.log, // 你也可以使用自己的方法来记录
  default: pictrue
}));

// 请在调用静态资源之前先使用反盗链模块
app.use(express.static(path.join(__dirname, 'public')));
app.set('port', process.env.PORT || 8004);

app.get('/', function(req, res) {
  res.redirect("/index.html");
});

app.listen(app.get('port'), function() {
  console.log("Express test server listening on http://localhost:" + app.get('port'));
});

nginx防盗链

location ~* \.(gif|jpg|png|bmp)$ {
  valid_referers none blocked *.xxx.com server_names ~\.google\. ~\.baidu\.;
  if ($invalid_referer) {
      return 403;
      #rewrite ^/ http://www.xxx.com/403.jpg;
  }
}
©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

  • 传说中图片防盗链的爱恨情仇&转载自【蚂蚁号】
    原理 注:这里有个很有趣的就是Referrer 和Referer 的故事了感兴趣的自行去了解以下 我们先来了解了解...
    Promise_4483阅读 2,828评论 0 1
  • [code.nginx] Rewrite的使用
    ngx_http_rewrite_module是Nginx服务器的重要模块之一,它一方面实现了URL的重写功能,另...
    吃瓜的东阅读 4,918评论 0 1
  • 防盗链
    一、基础防盗链 基础防盗链主要是针对客户端请求过程中所携带的一些关键信息来验证请求的合法性, 比如客户端请求IP,...
    TsengYUen阅读 11,621评论 1 10
  • 繁忙的大街
    这节《繁忙的大街》让孩子们学会画各种外型,各种角度的车,孩子们对车本来就很感兴趣,所以学习非常有兴趣,在学会画车的...
    9a18b90f13e7阅读 1,724评论 0 0
  • 与天气赛跑
    跑不赢天气,就要受制于天气,跑不赢格局,就要画地为牢————小城雨田 片段一 沃斯带着雨伞走过酒店前台,那位和蔼的...
    小城雨田阅读 3,089评论 0 0

友情链接更多精彩内容