网站盗链防护方法详解【一看就会】

很高兴又和大家见面了,今天秦永琦来和大家聊一聊网站盗链防护方法详解,以及网站盗链方法,下载工具,资源的一系列相关干货,既然来了就别走了,好好的静下心把这篇文章阅读完相信你会有一定的收获哦!

网站盗链防护几种常见方法详解

1:判断引用地址

这个方法是最早及最常见的方法。所谓判断引用地址,就是判断浏览器请求时HTTP头的Referer字段的值,这个值在asp.net里面可以用 Request.UrlReferrer属性取得。几个例子来说,在正常情况下当用户在浏览时点击一个链接去到 文件时,浏览器在发出请求talk-design-patterns.pdf资源时还会附带当刻浏览器所处的页面地址,所以当你的网站程序接收到下载 jacky.mp3 资源请求的时候,先判断http的referer字段的值,如果是从自己的域名过来的,则可以认为是合法的连接请求,否则就返回一个错误的提示信息。

这种方法通常用于图片、mp3这种容易被人用html“嵌入”到其他网站的资源,使用这种方法可以防止你的图片直接出现在别人的网页里(或者防止mp3直接被其他网站嵌入到flash播放器里),不过访客使用下载工具还是可以轻松下载,因为现在的下载工具一般会自动用你的域名构造一个引用地址,所以如果想再进一步防范的话,可以使用一个对应表限制每个资源的引用地址,例如将 talk-design-patterns.pdf 的引用地址限制,这样下载工具就不太可能构造一个“正确”的引用地址了。

2:使用登录验证

这个方法常见于论坛、社区。当访客请求网站上的一个资源时,先判断此请求是否通过登录验证(在asp.net里常用session或form验证来记录登录状态),如果尚未登录则返回一个错误提示信息。使用这个方法还可以进一步判断登录的用户的权限是否足够,以实现带“权限”的下载。

不过因为登录状态依赖于会话id,而会话id往往储存于http请求的Cookie字段里,下载工具一般没法获得浏览器的cookie字段,所以这些资源往往无法使用下载工具来下载,给正常合法用户带来诸多不便(因为大部分网民的系统都安装了下载工具,一点击下载链接一般会被下载工具拦截,导致无法使用浏览器本身的下载功能)。简单的解决方法是将这个session id放到URL中。

这种方法的另外一个缺点是访客无法匿名下载,所以这个方法一般只用于论坛和社区网站。

3:使用cookie

其实这种方法原理上跟方法2差不多。就是在显示“下载”链接的页面里产生一个动态值的cookie,然后在处理资源下载请求时先判断cookie里有没有正确的cookie,如果没有则返回错误提示信息。至于这个动态值如何产生,只要能逆向判断动态值是否合法的都可以,例如将当前的时间去除秒数取哈希值(也叫散列值)。如果网页程序是asp.net则更简单,可以往Session里随便存一个字符串或数字,然后在处理下载请求时先检查Session里是否存在这个字符串或数字。使用这个方法的缺点跟方法2一样。

4:使用POST下载

客户端浏览器请求资源都是使用HTTP的GET方法的,其实使用POST方法也可以往客户端返回数据。所以可以将下载链接换成一个表单(Form)和一个按钮(Submit),将待下载的文件的名称或id放到表单的一个隐藏文本框(Input)里,当用户点击提交按钮时,服务程序先判断请求是否为POST方式,如果是则读取目标资源的二进制数据并写入响应对象(在asp.net里是respone.BinaryWrite方法)。
使用这个方法的缺点同样是无法使用下载工具,更没法实现断点续传。 不过比方法2,3好一点的是,下载工具不会拦截你的下载动作,所以正常用户还是比较顺畅地下载到文件。这个方法比较适合小文件的下载。

5:使用图形验证码

使用这个方法可以保证每次下载都是“人”在你的网站上下载,而不是下载工具。因为网上很多介绍使用图形验证码的方法,所以这里就不再重复了。这个方法的缺点是比较容易让正常的用户感到麻烦。

6:使用动态文件名

也叫动态钥匙法,当用户点击一个下载链接时,先在程序端计算一个Key(使用一定规律产生的Key,最好不要使用随机字符串例如GUID,并且这个Key必须有一定时效的),然后在数据库或Cache里记录这个Key以及它所对应的资源ID或文件名,最后让网页重定向一个新的URL地址,这个新URL地址里需要包含这个Key。当浏览器或下载工具发出下载请求时,程序先检测这个Key是否存在,如果存在则返回对应的资源数据。
使用这个方法的好处是下载工具也可以下载,并且在Key失效前可以断点续传,并且可以通过Key来控制下载的线程数。

使用这个方法(包括以上所有支持下载工具的方法)的缺点是:当任意一个用户下载成功之后,你的资源就会被一些下载工具列入“资源候选名单”,以后其他人在其他地方下载同样的文件时,下载工具会不断连接你的服务器,即使你的文件已经删除或者Key已经失效了,这样会造成类DDoS攻击的后果,下面再介绍两个即可以让下载工具下载,又可以防止盗链的方法。

7:擅改资源的内容

一般热门的资源都是电影、mp3、较大的压缩包等,这些文件都是有很多可以插入数据的地方的,例如mp3有一个tag区,rar/zip有一个备注区,电影的内容随便一个地方,只要在下载过程当中,动态地往这些地方注入一些随机的字节(几个字节即可),就可以达到让整个文件的哈希值(即散列值、指纹值)发生改变,让从你网站下载的文件的哈希值跟别人的不一样,就可以防止下载工具主动找上门了。用这个方法配合方法6,可以达到较好的防盗链的效果。缺点是,虽然文件被修改的部分不会被“看”、“听”出来,不过多多少少让知道的人觉得不爽。另外就是如果别人把从你网站下载的文件放到其他网站,那么仍然存在下载工具主动找上门的情况(虽然实际上它下载不了内容)。

8:打包下载

这个方法跟方法7的道理是一样的,只不过这次不是往原始文件里修改,而是在原始的文件基础上再加个“外壳”,让资源的哈希值跟别人的不一样。使用这个方法可以在不擅改资源原始的内容基础上实现方法6同样的效果,并且狠一点的话,甚至可以在打包的时候放入自己的一些广告。缺点是用户每次下载都得加压缩,不过目前大部分人都懂得解压,所以这个缺点有时可以忽略不计。

ok,这篇文章到这里就结束了哈,不管如何,只要能帮到你我就非常开心了,很仔细看完网站盗链防护方法详解【一看就会】这篇文章,感觉让自己收获很多知识,请帮忙点个赞呗!保证让你收获学习满满!

本文发布者:站长老油条,不代表寂寞网立场,转载请注明出处:https://www.jimowang.com/p/5468.html

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 jimowangmail@126.com 举报,一经查实,本站将立刻删除。

(0)
上一篇 2022年9月6日 09:31
下一篇 2022年9月6日 09:36

相关推荐

  • 菜市场20个生意增长方法介绍(菜市场生意增长方法与技巧)

    菜市场20个生意增长方法介绍 在菜市场经营中,生意增长是每个商家都希望实现的目标。以下是一些实用的方法和技巧,帮助您在菜市场中获得更多的生意。 1. 优化商品结构 菜市场中的商品琳琅满目,商家需要根据市场需求和消费者的喜好,合理安排商品种类和数量。 1. 优化商品结构 菜市场中的商品琳琅满目,商家需要根据市场需求和消费者的喜好,合理安排商品种类和数量。同时,…

    技术 2023年9月24日
  • 如何判断6万左右自动挡车的性能与安全性?

    以下是判断6万左右自动挡车性能与安全性的几个方面 一、车辆的动力性能 车辆的动力性能是判断自动挡车辆性能的一个重要指标。可以通过观察车辆的排量、最大功率、最大扭矩等参数来评估车辆的动力性能。 二、车辆的操控性能 车辆的操控性能也是判断自动挡车辆性能的重要指标之一。可以通过试驾车辆的速度、转弯半径、悬挂系统等方面来评估车辆的操控性能。 三、车辆的制动性能 车辆…

    2023年8月25日
  • 本地账户管理员改名后需要重新设置权限吗(权限设置与操作建议)

    本文将介绍本地账户管理员在改名后是否需要重新设置权限以及相关的操作建议。 一、需要重新设置权限的情况 当本地账户管理员改名后,需要重新设置权限的情况包括: 管理员对其他用户或组的权限发生了改变; 管理员需要调整文件夹或文件的访问权限; 管理员需要更新与权限相关的的一些安全策略。 二、不需要重新设置权限的情况 当本地账户管理员改名后,不需要重新设置权限的情况包…

    技术 2023年9月17日
  • 品牌定位和品牌形象如何打造?(品牌定位和形象打造技巧分享)

    品牌定位和品牌形象如何打造? 品牌定位和品牌形象是品牌塑造的关键因素,对于企业的发展和市场竞争具有重要意义。下面分享一些品牌定位和形象打造的技巧。 1. 明确品牌定位 品牌定位是指让消费者对品牌有一个清晰的认知,区别于其他品牌。明确品牌定位需要从以下几个方面入手: * 确定目标客户:了解目标客户的年龄、性别、收入水平、消费习惯等,为品牌定位提供基础。* 确定…

    技术 2023年8月21日
  • 2020新版狗爹godaddy域名解析教程(图文)【详细介绍】

    很高兴又和大家见面了,今天冯光来和大家聊一聊2020新版狗爹godaddy域名解析教程(图文),还有狗爹,godaddy,域名解析新版,教程,图文等等等各种相关干货内容,主要就是想给大家提供一个思路分享给大家,毕竟也是经过一系列总结过的哈! 前言 狗爹godaddy控制面板是英文的,就算用的中文,翻译的也很差,很多文字看不明白,冯光今年买了个域名,就顺便写一…

    2022年11月5日 技术
  • txt代码实现PC端实现微信双开或者多开【经验之谈】

    今天盛家给大家带来了这篇txt代码实现PC端实现微信双开或者多开干货,以及关于微信双开路径,后缀,图标这些一系列的精品相关干货,经过我各种整理总结之后,决定写下这篇文章分享给大家。 其实PC端实现微信双开或者多开很简单1、新建一个TXT文档2、输入代码 echo start微信路径 exit 3、重难点解释:一、微信路径获取方法首先点击微信-右键-属性-复制…

    技术 2022年9月16日