摘要:既然被盜鏈的后果這么可怕,那有哪些方法可以防止盜鏈呢下面從簡到繁總結一下常見的以及自己實踐過的一些方法,并簡單分析一下。用這個方法配合方法,可以達到較好的防盜鏈的效果。
作為普通的網(wǎng)民來說,一般不需要知道也不用關心什么是盜鏈,不過如果你是網(wǎng)站的開發(fā)者或維護者,就不得不重視盜鏈的問題了。如果你剛剛開發(fā)完一個沒有防盜鏈的帶有文件下載功能的網(wǎng)站,掛上internet,然后上傳幾個時下非常熱門的軟件或電影并在網(wǎng)站內(nèi)公布下載地址,讓MSN上的所有好友都來體驗一下你的杰作。
不用多久就會發(fā)現(xiàn)網(wǎng)速出奇地變慢,甚至服務器托管中心的服務員會熱情地打電話告訴你的網(wǎng)站流量很大,估計是網(wǎng)站受歡迎起來了,問你是不是該考慮加錢租用帶寬更寬但價格更貴的網(wǎng)線了。在這個值得慶祝的時候趕快打開Google Analytics看看有多少人來光顧你的網(wǎng)站了吧,如果發(fā)現(xiàn)訪客每天才十來個人,很遺憾地告訴你:你的網(wǎng)站資源不幸地被人盜鏈了。
而且更糟糕的是,當你把網(wǎng)站上的文件和電影通通刪光之后,網(wǎng)站仍然沒有變快多少,從web服務器的訪問日志里會發(fā)現(xiàn)瘋狂的訪問請求正從四面八方涌過來,web服務器為了迎接這批訪客而沒有時間處理正常的頁面,這種狀況可能會一直持續(xù)好幾個周時間。
網(wǎng)站資源被盜鏈簡單來說就是別人不是從你的網(wǎng)站通過下載資源,被盜鏈的幾種可能情況:
1、人氣非常旺的網(wǎng)站、論壇、社區(qū)的網(wǎng)頁里直接引用了(使用標記)你網(wǎng)站上的圖片,或者直接在其他網(wǎng)頁(使用flash或媒體播放插件)里嵌入了你網(wǎng)站上的mp3。
2、在人氣非常旺的網(wǎng)站、論壇、社區(qū)里提供了你的資源的下載地址。
3、你網(wǎng)站的資源可能被一些下載軟件列入了“資源候選名單”,當其他人用下載工具下載相同的文件時,下載軟件會自動找上門并且從你的服務器下載。
既然被盜鏈的后果這么可怕,那有哪些方法可以防止盜鏈呢下面從簡到繁總結一下常見的以及自己實踐過的一些方法,并簡單分析一下。不過很遺憾地,這些方法都沒法完全杜絕被盜鏈,并且防盜鏈的目的應該是從一定的程度上減少被盜鏈所產(chǎn)生的影響,同時能讓合法的用戶能夠以自然的方式、順暢地從你的網(wǎng)站下載資源。
方法1:判斷引用地址
這個方法是最早及最常見的方法。所謂判斷引用地址,就是判斷瀏覽器請求時HTTP頭的Referer字段的值,這個值在asp.net里面可以用 Request.UrlReferrer屬性取得。幾個例子來說,在正常情況下當用戶在瀏覽 http://uushare.com/abc.html 時點擊一個鏈接去到 http://uushare.com/jacky.mp3 文件時,瀏覽器在發(fā)出請求jacky.mp3 資源時還會附帶當刻瀏覽器所處的頁面地址(即http://uushare.com/abc.html),所以當你的網(wǎng)站程序接收到下載 jacky.mp3 資源請求的時候,先判斷http的referer字段的值,如果是從 自己的域名(uushare.com)過來的,則可以認為是合法的連接請求,否則就返回一個錯誤的提示信息。
這種方法通常用于圖片、 mp3這種容易被人用html“嵌入”到其他網(wǎng)站的資源,使用這種方法可以防止你的圖片直接出現(xiàn)在別人的網(wǎng)頁里(或者防止mp3直接被其他網(wǎng)站嵌入到 flash播放器里),不過訪客使用下載工具還是可以輕松下載,因為現(xiàn)在的下載工具一般會自動用你的域名構造一個引用地址,所以如果想再進一步防范的話,可以使用一個對應表限制每個資源的引用地址,例如將 jacky.mp3 的引用地址限制為 http://uushare.com/abc.htmlid=12345,這樣下載工具就不太可能構造一個“正確”的引用地址了。
方法2:使用登錄驗證
這個方法常見于論壇、社區(qū)。當訪客請求網(wǎng)站上的一個資源時,先判斷此請求是否通過登錄驗證(在asp.net里常用session或form驗證來記錄登錄狀態(tài)),如果尚未登錄則返回一個錯誤提示信息。使用這個方法還可以進一步判斷登錄的用戶的權限是否足夠,以實現(xiàn)帶“權限”的下載。
不過因為登錄狀態(tài)依賴于會話id,而會話id往往儲存于http請求的cookie字段里,下載工具一般沒法獲得瀏覽器的cookie字段,所以這些資源往往無法使用下載工具來下載,給正常合法用戶帶來諸多不便(因為大部分網(wǎng)民的系統(tǒng)都安裝了下載工具,一點擊下載鏈接一般會被下載工具攔截,導致無法使用瀏覽器本身的下載功能)。簡單的解決方法是將這個session id放到URL中。
這種方法的另外一個缺點是訪客無法匿名下載,所以這個方法一般只用于論壇和社區(qū)網(wǎng)站。
方法3:使用cookie
其實這種方法原理上跟方法2差不多。就是在顯示“下載”鏈接的頁面里產(chǎn)生一個動態(tài)值的cookie,然后在處理資源下載請求時先判斷cookie里有沒有正確的cookie,如果沒有則返回錯誤提示信息。至于這個動態(tài)值如何產(chǎn)生,只要能逆向判斷動態(tài)值是否合法的都可以,例如將當前的時間去除秒數(shù)取哈希值(也叫散列值)。如果網(wǎng)頁程序是asp.net則更簡單,可以往Session里隨便存一個字符串或數(shù)字,然后在處理下載請求時先檢查Session 里是否存在這個字符串或數(shù)字。使用這個方法的缺點跟方法2一樣。
方法4:使用POST下載
客戶端瀏覽器請求資源都是使用HTTP的GET方法的,其實使用POST方法也可以往客戶端返回數(shù)據(jù)。所以可以將下載鏈接換成一個表單(Form)和一個按鈕(Submit),將待下載的文件的名稱或id放到表單的一個隱藏文本框(Input)里,當用戶點擊提交按鈕時,服務程序先判斷請求是否為 POST方式,如果是則讀取目標資源的二進制數(shù)據(jù)并寫入響應對象(在asp.net里是respone.BinaryWrite方法)。
使用這個方法的缺點同樣是無法使用下載工具,更沒法實現(xiàn)斷點續(xù)傳。 不過比方法2,3好一點的是,下載工具不會攔截你的下載動作,所以正常用戶還是比較順暢地下載到文件。這個方法比較適合小文件的下載。
方法5:使用圖形驗證碼
使用這個方法可以保證每次下載都是“人”在你的網(wǎng)站上下載,而不是下載工具。因為網(wǎng)上很多介紹使用圖形驗證碼的方法,所以這里就不再重復了。這個方法的缺點是比較容易讓正常的用戶感到麻煩。
方法6:使用動態(tài)文件名
也叫動態(tài)鑰匙法,當用戶點擊一個下載鏈接時,先在程序端計算一個Key(使用一定規(guī)律產(chǎn)生的Key,最好不要使用隨機字符串例如GUID,并且這個 Key必須有一定時效的),然后在數(shù)據(jù)庫或Cache里記錄這個Key以及它所對應的資源ID或文件名,最后讓網(wǎng)頁重定向一個新的URL地址,這個新 URL地址里需要包含這個Key。當瀏覽器或下載工具發(fā)出下載請求時,程序先檢測這個Key是否存在,如果存在則返回對應的資源數(shù)據(jù)。
使用這個方法的好處是下載工具也可以下載,并且在Key失效前可以斷點續(xù)傳,并且可以通過Key來控制下載的線程數(shù)。
使用這個方法(包括以上所有支持下載工具的方法)的缺點是:當任意一個用戶下載成功之后,你的資源就會被一些下載工具列入“資源候選名單”,以后其他人在其他地方下載同樣的文件時,下載工具會不斷連接你的服務器,即使你的文件已經(jīng)刪除或者Key已經(jīng)失效了,這樣會造成類DDos攻擊的后果,下面再介紹兩個即可以讓下載工具下載,又可以防止盜鏈的方法。
方法7:擅改資源的內(nèi)容
一般熱門的資源都是電影、mp3、較大的壓縮包等,這些文件都是有很多可以插入數(shù)據(jù)的地方的,例如mp3有一個tag區(qū),rar/zip有一個備注區(qū),電影的內(nèi)容隨便一個地方,只要在下載過程當中,動態(tài)地往這些地方注入一些隨機的字節(jié)(幾個字節(jié)即可),就可以達到讓整個文件的哈希值(即散列值、指紋值)發(fā)生改變,讓從你網(wǎng)站下載的文件的哈希值跟別人的不一樣,就可以防止下載工具主動找上門了。用這個方法配合方法6,可以達到較好的防盜鏈的效果。缺點是,雖然文件被修改的部分不會被“看”、“聽”出來,不過多多少少讓知道的人覺得不爽。另外就是如果別人把從你網(wǎng)站下載的文件放到其他網(wǎng)站,那么仍然存在下載工具主動找上門的情況(雖然實際上它下載不了內(nèi)容)。
方法8:打包下載
這個方法跟方法7的道理是一樣的,只不過這次不是往原始文件里修改,而是在原始的文件基礎上再加個“外殼”,讓資源的哈希值跟別人的不一樣。使用這個方法可以在不擅改資源原始的內(nèi)容基礎上實現(xiàn)方法6同樣的效果,并且狠一點的話,甚至可以在打包的時候放入自己的一些廣告。缺點是用戶每次下載都得加壓縮,不過目前大部分人都懂得解壓,所以這個缺點有時可以忽略不計。
文章版權歸作者所有,未經(jīng)允許請勿轉載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/1279.html
摘要:反盜鏈分類我們了解了盜鏈對源站的危害后,自然要通過一些手段來阻止這種行為維護自己的利益。參考文章百科盜鏈防盜鏈偽造防盜鏈 有些產(chǎn)品為了防止自己的產(chǎn)品被盜鏈訪問,會采用反盜鏈措施,如封閉型生態(tài)的音樂網(wǎng)站和視頻網(wǎng)站,他們已經(jīng)為了版權付費,自然不希望你免費使用他們的資源。但因為很多人專門研究盜鏈,因此我們也需要了解下盜鏈、反盜鏈和逃避反盜鏈的原理。 盜鏈 引用百度百科對盜鏈的定義: 盜鏈是指...
摘要:反盜鏈分類我們了解了盜鏈對源站的危害后,自然要通過一些手段來阻止這種行為維護自己的利益。參考文章百科盜鏈防盜鏈偽造防盜鏈 有些產(chǎn)品為了防止自己的產(chǎn)品被盜鏈訪問,會采用反盜鏈措施,如封閉型生態(tài)的音樂網(wǎng)站和視頻網(wǎng)站,他們已經(jīng)為了版權付費,自然不希望你免費使用他們的資源。但因為很多人專門研究盜鏈,因此我們也需要了解下盜鏈、反盜鏈和逃避反盜鏈的原理。 盜鏈 引用百度百科對盜鏈的定義: 盜鏈是指...
摘要:三態(tài)分別是就緒運行阻塞進程的五態(tài)模型在三態(tài)的基礎上發(fā)展而來新建態(tài)運行態(tài)終止態(tài)就緒態(tài)等待態(tài)線程稱之為輕量級的進程,程序執(zhí)行流的最小單元。一個進程下有多個線程來完成不同的工作稱之為多線程。 web資源防盜鏈 盜鏈是什么? 為什么要防? 在自己頁面上顯示一些不是自己服務器的資源(圖片、音頻、視頻、css、js等)由于別人盜鏈你的資源會加重你的服務器負擔,所以我們需要防止可能會影響統(tǒng)計 防盜鏈...
摘要:是的縮寫,翻譯過來就是跨站請求偽造。要抵御,關鍵在于在請求中放入黑客無法偽造的信息。通過這個類,可以一次性給所有該類請求加上這個頭屬性,并把值放入其中。參考對跨站請求偽造的理解淺談攻擊方式跨站腳本攻擊與跨站請求偽造攻擊的學習總結。 CSRF CSRF是Cross Site Request Forgery的縮寫,翻譯過來就是跨站請求偽造。 跨站:顧名思義,就是從一個網(wǎng)站到另一個網(wǎng)站。 ...
摘要:經(jīng)由超文本傳輸協(xié)議通信,但是數(shù)據(jù)包由安全協(xié)議加密,實現(xiàn)加密數(shù)據(jù)與認證功能。該模塊指令定義相關設置證書文件,私鑰文件,會話緩存等內(nèi)容。允許在客戶端建立會話時傳遞請求服務器名稱,這樣服務器就會知道該發(fā)送哪個虛擬主機下的證書文件。 1、nginx基本狀態(tài)信息頁面 配置示例: location /basic_status { stub_...
閱讀 2932·2023-04-26 01:49
閱讀 2066·2021-10-13 09:39
閱讀 2278·2021-10-11 11:09
閱讀 923·2019-08-30 15:53
閱讀 2816·2019-08-30 15:44
閱讀 916·2019-08-30 11:12
閱讀 2966·2019-08-29 17:17
閱讀 2371·2019-08-29 16:57