摘要:在同等安全級(jí)別的情況下,發(fā)送文件的源作為引用地址����,但是在降級(jí)的情況下不會(huì)發(fā)送。
什么是盜鏈
資源不在自己服務(wù)器上, 而通過技術(shù)手段, 把資源放置到自己的網(wǎng)站中, 通過這種方法盜取他人的資源.
什么是Referer
Referer是http請求header的一部分, 當(dāng)瀏覽器(或者模擬瀏覽器行為)向web服務(wù)器發(fā)送請求的時(shí)候���,頭信息里有包含 Referer. 它表示當(dāng)前接口的訪問來源. Referer的正確英語拼法是referrer. 由于早期http規(guī)范的拼寫錯(cuò)誤, 為了保持向后兼容就將錯(cuò)就錯(cuò)了. 其它網(wǎng)絡(luò)技術(shù)的規(guī)范企圖修正此問題, 使用正確拼法, 所以目前拼法不統(tǒng)一.
為什么要設(shè)置防盜鏈
防爬蟲(流量暴漲, 服務(wù)提供者卻是受害者)
安全
如何設(shè)置防盜鏈
此處以基于express的二次開發(fā)框架nestjs起一個(gè)小demo
你完全可以用token驗(yàn)證等方法去實(shí)現(xiàn)更嚴(yán)格的防盜鏈
...(如何添加路由等等就不說了, 有興趣直接去看看我的代碼, 直接跳到驗(yàn)證器的路由代碼去)
routers/doorChain/controller.ts
import express from "express";
import { Get, Headers, Res, Controller } from "@nestjs/common";
import { DoorChainService } from "./service";
@Controller("door-chain")
export class DoorChainController {
constructor(private readonly doorChainService: DoorChainService) {}
@Get()
root(@Headers("referer") referer: string, @Res() res: express.Response) {
return this.doorChainService.root(referer, res);
}
}
routers/doorChain/service.ts
import * as url from "url";
import * as path from "path";
import express from "express";
import { Injectable } from "@nestjs/common";
import logger from "utils/logger";
@Injectable()
export class DoorChainService {
root(referer: string, res: express.Response) {
let imageName = "break.png";
if (!referer) {
imageName = "yellow.png";
} else {
try {
const refererParsed = url.parse(referer);
if (refererParsed.host === "localhost:8080") {
imageName = "yellow.png";
}
} catch (err) {}
}
const imagePath = path.resolve(__dirname, `./../../assets/${imageName}`);
res.sendFile(imagePath, null, err => {
if (err) {
logger.error(err);
res.status(404).end();
} else {
logger.info(`Sent: ${imagePath}`);
}
});
}
}
主要的邏輯代碼就那么幾行!
驗(yàn)證的基本思路:
當(dāng)referer為空時(shí), 返回正確的圖
當(dāng)referer不為空, 且host命中我的目標(biāo)網(wǎng)站時(shí), 返回正確的圖
當(dāng)referer不為空, 但host未能命中我的目標(biāo)網(wǎng)站時(shí), 返回錯(cuò)誤的圖
啟動(dòng)服務(wù), 訪問http://localhost:3333/door-chain, 返回正確的圖!!!
如何去掉訪問限制
這次我們僅討論怎么在網(wǎng)頁端去掉訪問的限制, 另外還有七牛鏡像儲(chǔ)存, 或者把實(shí)現(xiàn)方案交由服務(wù)端處理等等都是可以的, 而且原理都是一樣, 這里不一一贅述.
以下簡述去掉header中的Referrer的兩種方法:
添加name為referrer, content為never(whatwg標(biāo)準(zhǔn), 兼容性相對較好)或no-referrer(MDN標(biāo)準(zhǔn))的meta標(biāo)簽
| 策略名稱 |
屬性值(MDN標(biāo)準(zhǔn)) |
屬性值(whatwg標(biāo)準(zhǔn)) |
| No Referrer |
no-referrer |
never |
| No Referrer When Downgrade |
no-referrer-when-downgrade |
default |
| Origin Only |
origin |
- |
| Origin When Cross-origin |
origin-when-crossorigin |
- |
| Unsafe URL |
unsafe-url |
always |
無論選擇哪一個(gè)值, 都有一個(gè)缺點(diǎn), 就是默認(rèn)情況下全部資源(包括接口)都被處理了
對標(biāo)簽添加ReferrerPolicy屬性
更精確的指定了某一個(gè)資源的referrer策略
相對以上的值列表, ReferrerPolicy在此基礎(chǔ)上擴(kuò)展了三個(gè)可供選擇的值:
same-origin 對于同源的請求會(huì)發(fā)送引用地址��,但是對于非同源請求則不發(fā)送引用地址信息����。
strict-origin 在同等安全級(jí)別的情況下�,發(fā)送文件的源作為引用地址(HTTPS->HTTPS),但是在降級(jí)的情況下不會(huì)發(fā)送 (HTTPS->HTTP)���。
strict-origin-when-cross-origin 對于同源的請求��,會(huì)發(fā)送完整的URL作為引用地址����;在同等安全級(jí)別的情況下����,發(fā)送文件的源作為引用地址(HTTPS->HTTPS);在降級(jí)的情況下不發(fā)送此首部 (HTTPS->HTTP)�。
如果在純粹開發(fā)的角度上, 這個(gè)方式是接近完美的, 因?yàn)闆]有污染到其他任何東西. 再來看看瀏覽器兼容性方面:
常規(guī)值的問題也不大.
新擴(kuò)展的三個(gè)值的兼容性圖
有點(diǎn)不容樂觀啊!
關(guān)于擴(kuò)展img標(biāo)簽屬性
在tsx中img標(biāo)簽?zāi)J(rèn)是不支持referrerPolicy的, 實(shí)現(xiàn)方案可以參考ts-react-webpack, 查看我是如何擴(kuò)展的, 歡迎來踩!!!
當(dāng)然了, 雖然常用的會(huì)是類似上述的方案, 總的來說, 這里只是防盜鏈知識(shí)體系中的鳳毛麟角, 仍有待探索.
此外還有referrer-killer等等的項(xiàng)目可以參閱
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/108135.html
