发布时间:2019-07-11编辑:佚名阅读(1604)
“盗链” 说白了就是利用别人网站的资源链接放在自己的站点,在未经允许的情况下去获取别人网站里面的图片或者视频等资源,导致资源所有者的网站的流量费用增加或收入减少,为了防止资源链接随意被人盗用的手段被称为 “防盗链”。
我们先来模拟一下 “盗链” 场景,在本地启动服务运行 hotlinking.html 文件,并在文件中盗用百度视频的图片资源,看看效果。
文件:hotlinking.html
<!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Compatible" content="ie=edge"> <title>盗链</title> </head> <body> <img src="http://c.hiphotos.baidu.com/video/pic/item/e61190ef76c6a7ef8891a7c9f1faaf51f2de66ad.jpg"> </body> </html>
我们通过 http-server 来启动服务器访问 hotlinking.html,使用 http-server 需全局安装。
http-server install -g
在服务中打开 hotlinking.html 后我们发现图片并不是我们盗用链接的资源,而是变成了下面这张图片。
这张图用来提醒我们盗用了别人资源,是因为百度的服务器做了防盗链处理,如果所有盗用别人的资源都变成这样,盗用也就没有实际意义了,我们本篇就通过 NodeJS 来实现防盗链处理,用来保护自己站点的资源。
注意:具备防盗链处理的网站的资源链接可以直接通过浏览器地址栏访问,也可以在文件域(file 协议)访问,限制的是在未经允许的情况下其他服务器的访问。
在本地的 hosts 文件中加入两个域名:
127.0.0.1 panda.com 127.0.0.1 shen.com
在根目录创建文件夹 public 并存入两张图片,success.png 是正常请求的图片资源,error.png 是经过防盗链处理后返回的图片资源,两张图片如下。
正常返回的图片资源 success.png:
防盗链处理后返回的图片资源 error.png:
在页面当中通过 img 标签分别访问 shen.com、panda.com 和 localhost 域下的 success.png 文件。
文件:index.html
<!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <meta http-equiv="X-UA-Compatible" content="ie=edge"> <title>盗链</title> </head> <body> <img src="http://panda.com:3000/success.png"> <img src="http://shen.com:3000/success.png"> <img src="http://localhost:3000/success.png"> </body> </html>
在写服务端代码之前需要介绍两个重要的请求头:
host:资源所在的域
referer:请求来源的域
其实资源防盗就是设置白名单,通过检测 referer 是否在白名单中,如果在则正常返回资源,不存在则返回经过防盗链处理的资源。
注意:referer 请求头在地址栏输入地址时发送的请求是不存在的(如请求 index.html 页面),在旧版本的 HTTP 协议中 referer 的写法为 referered,所以为了兼容旧版本协议应该做兼容处理。
文件:server.js
// 引入依赖 const http = require("http"); const url = require("url"); const path = require("path"); const fs = require("mz/fs"); const server = http.createServer(responseImages); // 创建服务器 let static = path.resolve(__dirname, "public"); // 静态资源目录 let whiteList = ["shen.com"]; // 白名单 async function responseImages(req, res) { // 解析 url 中的文件目录处理成绝对路径 let p = path.join(static, url.parse(req.url).pathname); // 检测文件路径是否合法,不合法直接返回 Not Found let isExist = await fs.exists(p); if (isExist) { // 获取 referer let refer = req.headers["referer"] || req.headers["referered"]; // 存在 referer 继续检测 if (refer) { // 请求资源存在 referer,做防盗链处理 let referHost = url.parse(refer).hostname; let host = req.headers["host"].split(":")[0]; // 当访问源的域和资源所在的域不是同一个域,做防盗链处理 if (referHost !== host) { let isInWhiteList = whiteList.includes(refer); p = isInWhiteList ? p : path.join(static, "error.png"); } } // 第一次访问请求页面 index.html,不存在 referer,将静态资源返回 // 第二次访问请求图片资源,如果 referer 和资源所本就是同一个域,直接将资源返回 fs.createReadStream(p).pipe(res); } else { res.statusCode = 404; res.end("Not Found"); } } server.listen(3000, () => { console.log("server start 3000"); });
其实上面的服务器是 shen.com、panda.com 和 localhost 所共用的,只是通过不同的域名访问。
启动服务器,然后通过 localhost:3000 访问,此时由于与 shen.com 和 panda.com 为不同域,所以只有第三张图片返回 success.png。
通过 shen.com:3000 访问,由于存在白名单中,所以三张图片都返回 success.png。
通过 panda.com:3000 访问,由于 shen.com 在不同域,所以没有返回 success.png。
无论通过 shen.com 还是 panda.com 访问 localhost 的资源都是在同域的,所以都能获取到。
在上面我们利用本地服务实现了一个最基本的防盗链,思路就是 referer 与资源同域,正常返回,不同域检测白名单,在真实的开发场景可能会更细化,更复杂一些,其实整个防盗链实现的核心就是利用 HTTP 的 referer 和 host 请求头做检测,希望通过本篇的学习,大家可以对资源防盗链有所了解,并在后面开发类似功能时提供思路。
上一篇:node获取referer
下一篇:js判断对象是否为空
0人
0人
0人
0人