什么是防盗链

Posted 2023-04-14

参考技术A 原文出处： 童燕群 （@童燕群）

网站资源都有域的概念，浏览器加载一个站点时，首先加载这个站点的首页，一般是index.html或者index.php等。页面加载，如果仅仅是加载一个index.html页面，那么该页面里面只有文本，最终浏览器只能呈现一个文本页面。丰富的多媒体信息无法在站点上面展现。

那么我们看到的各类元素丰富的网页是如何在浏览器端生成并呈现的？其实，index.html在被解析时，浏览器会识别页面源码中的img，script等标签，标签内部一般会有src属性，src属性一般是一个绝对的URL地址或者相对本域的地址。浏览器会识别各种情况，并最终得到该资源的唯一地址，加载该资源。具体的加载过程就是对该资源的URL发起一个获取数据的请求，也就是GET请求。各种丰富的资源组成整个页面，浏览器按照html语法指定的格式排列获取到各类资源，最终呈现一个完整的页面。因此一个网页是由很多次请求，获取众多资源形成的，整个浏览器在一次网页呈现中会有很多次GET请求获取各个标签下的src资源。

上图是一篇本站的博客网页呈现过程中的抓包截图。可以看到，大量的加载css、js和图片类资源的get请求。

观察其中的请求目的地址，可以发现有两类，一个是本站的43.242段的IP地址，这是本站的空间地址，即向本站自身请求资源，一般来说这个是必须的，访问资源由自身托管。另外一类是访问182的网段拉取数据。这类数据不是托管站内的，是在其他站点的。浏览器在页面呈现的过程，拉取非本站的资源，这就称“盗链”。

准确的说，只有某些时候，这种跨站访问资源，才被称为盗链。假设B站点作为一个商业网站，有很多自主版权的图片，自身展示用于商业目的。而A站点，希望在自己的网站上面也展示这些图片，直接使用：

这样，大量的客户端在访问A站点时，实际上消耗了B站点的流量，而A站点却从中达成商业目的。从而不劳而获。这样的A站点着实令B站点不快的。如何禁止此类问题呢？

HTTP协议和标准的浏览器对于解决这个问题提供便利，浏览器在加载非本站的资源时，会增加一个头域，头域名字固定为：

而在直接粘贴地址到浏览器地址栏访问时，请求的是本站的该url的页面，是不会有这个referer这个http头域的。使用Chrome浏览器的调试台，打开network标签可以看到每一个资源的加载过程，下面两个图分别是主页面和一个页面内资源的加载请求截图：

这个referer标签正是为了告诉请求响应者（被拉取资源的服务端），本次请求的引用页是谁，资源提供端可以分析这个引用者是否“友好”，是否允许其“引用”，对于不允许访问的引用者，可以不提供图片，这样访问者在页面上就只能看到一个图片无法加载的浏览器默认占位的警告图片，甚至服务端可以返回一个默认的提醒勿盗链的提示图片。

一般的站点或者静态资源托管站点都提供防盗链的设置，也就是让服务端识别指定的Referer，在服务端接收到请求时，通过匹配referer头域与配置，对于指定放行，对于其他referer视为盗链。

httpd防盗链

配置防盗链

为什么要配置防盗链
假如自己服务器是按照使用流量来计费使用的，如果网站中的图片等文件被直接引用到其他网站的文章当中，由于是复制图片的链接，实质上访问该部分内容还是直接向自己的服务器请求下载，这样一来的话会造成数据流量和网络资源增加，按量计费方式的话，那每月还需要付出额外不属于自己网站的流量付费，针对这种盗取别人网站文件资源的做法而配置防盗链，让复制的文件链接在本站以外的其他地方无法打开或正常显示
要实现防盗链，我们就必须先理解盗链的实现原理，提到防盗链的实现原理就不得不从HTTP协议说起，在HTTP协议中，有一个表头字段叫referer，采用URL的格式来表示从哪儿链接到当前的网页或文件。换句话说，通过referer，网站可以检测目标网页访问的来源网页，如果是资源文件，则可以跟踪到显示它的网页地址。有了referer跟踪来源就好办了，这时就可以通过技术手段来进行处理，一旦检测到来源不是本站即进行阻止或者返回指定的页面。

防盗链配置

[[email protected] conf]# less extra/httpd-vhosts.conf 
<Directory /usr/local/httpd/docs/123.com>
 ?  SetEnvIfNoCase Referer "http://123,com" local_ref
 ?  SetEnvIfNoCase Referer "http://abcd.com" local_ref
 ?  SetEnvIfNoCase Referer "^$"  local_ref
 ?  <FilesMatch ".(txt|doc|mp3|zip|rar|jpg|gif|png)">
 ? ? ? ? Order Allow,Deny
 ? ? ? ? Allow from env=Local_ref
 ?  </FilesMatch>
</Directory>

查看httpd主配置文件是否开启rewrite模块，未开启的话打开这行的配置

[[email protected] conf]# vim httpd.conf
LoadModule rewrite_module modules/mod_rewrite.so

重新加载虚拟主机中的配置

[[email protected] conf]# /usr/local/httpd/bin/apachectl -t
Syntax OK
[[email protected] conf]# /usr/local/httpd/bin/apachectl graceful

测试http中的防盗链，这里用png的图片来演示

[[email protected] 123.com]# curl -x127.0.0.1:80 123.com/girl.png -I
HTTP/1.1 403 Forbidden
Date: Mon, 30 Jul 2018 09:23:23 GMT
Server: Apache/2.4.33 (Unix) PHP/5.6.37
Content-Type: text/html; charset=iso-8859-1

由于访问的不是一个正常的网站，导致图片在测试当中无法正常显示，只能显示阻止链接的提示403 forbidden

访问控制Directory

访问控制可以用于控制访问后台管理页，针对后台管理设置访问权限，如限制ip，只允许指定ip进行访问
只允许127.0.0.1访问/usr/local/httpd/docs/123.com/admin/中的内容，其他的主机ip都不允许访问该目录下的内容。Order deny,allow ?先拒绝所有请求再允许部分访问 ?Deny from all 拒绝所有的访问 ?Allow from ?xunyu

<Directory /usr/local/httpd/docs/123.com/admin/>
 ? ?  Order deny,allow
 ? ?  Deny from all
 ? ?  Allow from 127.0.0.1
</Directory>

验证访问控制限制

[[email protected] extra]# cd /usr/local/httpd/docs/123.com/
[[email protected] 123.com]# ls
girl.png index.php
[[email protected] 123.com]# mkdir admin
[[email protected] 123.com]# echo "1234556677" > 1.html
[[email protected] 123.com]# curl -x127.0.0.1:80 123.com/admin/1.html
1234556677
[[email protected] 123.com]# curl -x192.168.1.223:80 www.123.com/admin/1.html
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don‘t have permission to access /admin/1.html
on this server.<br />
</p>
</body></html>
[[email protected] 123.com]# curl -x192.168.1.223:80 123.com/admin/1.html -I
HTTP/1.1 403 Forbidden
Date: Mon, 30 Jul 2018 12:00:19 GMT
Server: Apache/2.4.33 (Unix) PHP/5.6.37
Content-Type: text/html; charset=iso-8859-1

访问控制FilesMatch

FilesMatch控制访问，只允许指定ip访问指定的页面时在域名路径后添加任意字符，这里只允许回环地址访问，为了防止在web地址栏运行可执行的恶意代码

<Directory /usr/local/httpd/docs/123.com>
 ? ?  <FilesMatch 1.html(.*)>
 ? ?  Order deny,allow
 ? ?  Deny from all
 ? ?  Allow from 127.0.0.1
 ? ?  </FilesMatch>
</Directory>

验证192.168.1.223不允许访问指定页面的ip的状态，127.0.0.1为能访问的状态，192.168.1.223访问指定的页面不能添加任何的字符，在访问非限制页面的后面能够添加任意的字符，如：

--------------------看网页内容---------------
[[email protected] extra]# curl -x127.0.0.1:80 www.123.com/admin/1.html?while 
1234556677
[[email protected] extra]# curl -x192.168.1.223:80 www.123.com/admin/1.html?while 
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don‘t have permission to access /admin/1.html
on this server.<br />
</p>
</body></html>
-------------192.168.1.223查看非限制的网页且添加了任意字符
[[email protected] extra]# curl -x192.168.1.223:80 www.123.com/admin/index.php?while 
123.com<a href="www.123.com/girl.png">
图片
</a>
<img src="www.123.com/girl.png" />