httpd防盗链

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了httpd防盗链相关的知识,希望对你有一定的参考价值。

配置防盗链

为什么要配置防盗链
假如自己服务器是按照使用流量来计费使用的,如果网站中的图片等文件被直接引用到其他网站的文章当中,由于是复制图片的链接,实质上访问该部分内容还是直接向自己的服务器请求下载,这样一来的话会造成数据流量和网络资源增加,按量计费方式的话,那每月还需要付出额外不属于自己网站的流量付费,针对这种盗取别人网站文件资源的做法而配置防盗链,让复制的文件链接在本站以外的其他地方无法打开或正常显示
要实现防盗链,我们就必须先理解盗链的实现原理,提到防盗链的实现原理就不得不从HTTP协议说起,在HTTP协议中,有一个表头字段叫referer,采用URL的格式来表示从哪儿链接到当前的网页或文件。换句话说,通过referer,网站可以检测目标网页访问的来源网页,如果是资源文件,则可以跟踪到显示它的网页地址。有了referer跟踪来源就好办了,这时就可以通过技术手段来进行处理,一旦检测到来源不是本站即进行阻止或者返回指定的页面。

防盗链配置

[[email protected] conf]# less extra/httpd-vhosts.conf 
<Directory /usr/local/httpd/docs/123.com>
 ?  SetEnvIfNoCase Referer "http://123,com" local_ref
 ?  SetEnvIfNoCase Referer "http://abcd.com" local_ref
 ?  SetEnvIfNoCase Referer "^$"  local_ref
 ?  <FilesMatch ".(txt|doc|mp3|zip|rar|jpg|gif|png)">
 ? ? ? ? Order Allow,Deny
 ? ? ? ? Allow from env=Local_ref
 ?  </FilesMatch>
</Directory>

查看httpd主配置文件是否开启rewrite模块,未开启的话打开这行的配置

[[email protected] conf]# vim httpd.conf
LoadModule rewrite_module modules/mod_rewrite.so

重新加载虚拟主机中的配置

[[email protected] conf]# /usr/local/httpd/bin/apachectl -t
Syntax OK
[[email protected] conf]# /usr/local/httpd/bin/apachectl graceful

测试http中的防盗链,这里用png的图片来演示

[[email protected] 123.com]# curl -x127.0.0.1:80 123.com/girl.png -I
HTTP/1.1 403 Forbidden
Date: Mon, 30 Jul 2018 09:23:23 GMT
Server: Apache/2.4.33 (Unix) php/5.6.37
Content-Type: text/html; charset=iso-8859-1

由于访问的不是一个正常的网站,导致图片在测试当中无法正常显示,只能显示阻止链接的提示403 forbidden

访问控制Directory

访问控制可以用于控制访问后台管理页,针对后台管理设置访问权限,如限制ip,只允许指定ip进行访问
只允许127.0.0.1访问/usr/local/httpd/docs/123.com/admin/中的内容,其他的主机ip都不允许访问该目录下的内容。Order deny,allow ?先拒绝所有请求再允许部分访问 ?Deny from all 拒绝所有的访问 ?Allow from ?xunyu

<Directory /usr/local/httpd/docs/123.com/admin/>
 ? ?  Order deny,allow
 ? ?  Deny from all
 ? ?  Allow from 127.0.0.1
</Directory>

验证访问控制限制

[[email protected] extra]# cd /usr/local/httpd/docs/123.com/
[[email protected] 123.com]# ls
girl.png index.php
[[email protected] 123.com]# mkdir admin
[[email protected] 123.com]# echo "1234556677" > 1.html
[[email protected] 123.com]# curl -x127.0.0.1:80 123.com/admin/1.html
1234556677
[[email protected] 123.com]# curl -x192.168.1.223:80 www.123.com/admin/1.html
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don‘t have permission to access /admin/1.html
on this server.<br />
</p>
</body></html>
[[email protected] 123.com]# curl -x192.168.1.223:80 123.com/admin/1.html -I
HTTP/1.1 403 Forbidden
Date: Mon, 30 Jul 2018 12:00:19 GMT
Server: Apache/2.4.33 (Unix) PHP/5.6.37
Content-Type: text/html; charset=iso-8859-1

访问控制FilesMatch

FilesMatch控制访问,只允许指定ip访问指定的页面时在域名路径后添加任意字符,这里只允许回环地址访问,为了防止在web地址栏运行可执行的恶意代码

<Directory /usr/local/httpd/docs/123.com>
 ? ?  <FilesMatch 1.html(.*)>
 ? ?  Order deny,allow
 ? ?  Deny from all
 ? ?  Allow from 127.0.0.1
 ? ?  </FilesMatch>
</Directory>

验证192.168.1.223不允许访问指定页面的ip的状态,127.0.0.1为能访问的状态,192.168.1.223访问指定的页面不能添加任何的字符,在访问非限制页面的后面能够添加任意的字符,如:

--------------------看网页内容---------------
[[email protected] extra]# curl -x127.0.0.1:80 www.123.com/admin/1.html?while 
1234556677
[[email protected] extra]# curl -x192.168.1.223:80 www.123.com/admin/1.html?while 
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don‘t have permission to access /admin/1.html
on this server.<br />
</p>
</body></html>
-------------192.168.1.223查看非限制的网页且添加了任意字符
[[email protected] extra]# curl -x192.168.1.223:80 www.123.com/admin/index.php?while 
123.com<a href="www.123.com/girl.png">
图片
</a>
<img src="www.123.com/girl.png" />

以上是关于httpd防盗链的主要内容,如果未能解决你的问题,请参考以下文章

Apache(httpd)配置--防盗链配置和访问控制

86.Apache(httpd)配置--防盗链配置和访问控制

Apache防盗链

配置防盗链 访问控制Directory 访问控制FilesMatch

配置防盗链

防盗链和访问控制