菜单

聊一聊防盗链

2019年2月18日 - 计算机教程

第三方代理

第三方代理其实算是后台与下载的升级版,其实就是将下载图片的这个过程交给第三方的网站。一个非常好用的代理是images.weserv.nl,我们可以直接将自己需要“盗链”的图片写在请求中即可。我们甚至可以指定一些简单的图片处理参数,让代理帮我们处理。
比如我想盗链https://foo.com/foo.jpg,并且将图片宽度设置成100,我们就可以直接这样引用:

<img src=”https://images.weserv.nl/?url=foo.com/foo.jpg&w=100” />

1
<img src="https://images.weserv.nl/?url=foo.com/foo.jpg&w=100" />

这还是很方便的,不过美中不足的是这个国外的网站在国内的访问速度似乎有点慢,有时候甚至还会被墙,这就有点尴尬了。

防盗链

盗链是指未经资源代理站点许可而擅自引用其资源。防盗链就是这些资源代理站点,为了避免盗链行为而采取的一种很常见的屏蔽措施,我们这里主要讨论图片方面的防盗链及相关的解决方案

后台预下载

预下载是最直观的一种方法,既然不能直接引用,那我就先后台下载下来,然后将图片链接到下载后的图片即可。这个方法还是比较稳妥的,图片下载下来就是自己的了,不会再受人限制。不过这总有种侵犯知识产权的感觉,而且每张图片都要后台先下载,逻辑处理起来还是有点麻烦的;而且对于那种纯静态页面,没有后台程序供我们发挥,这也就无法实现了。

分析

反手就是一个F12,首先是有防盗链现象的图片的请求信息

402.com 1

防盗链请求头

再反手又是一个new tab,键入图片url,F12

402.com 2

新开窗口请求

这样对比看的话就很清楚了,两者不同之处再Request
Headers里面的Referer请求头,关于Referer,引用MDN的解释:

The Referer request header contains the address of the previous web
page from which a link to the currently requested page was followed.
The Referer header allows servers to identify where people are
visiting them from and may use that data for analytics, logging, or
optimized caching, for example.

大概意思就是说Referer包含请求发起者的URL,这样腾讯方就可以拿到请求源相关信息,然后根据请求源URL来进行判断校验,这样就可以知道请求方是否在盗链

不过如此,哈哈哈…

402.com 3

但是,怎么破?绝望。。。

402.com 4

浏览器支持对比

上面我们讲了两种取消referrer头信息的方法,但其实这却对应了五种写法,我们来看下面的对比表:

NOTHING META IN HEAD REFERRER=NEVER META IN HEAD REFERRER=NO-REFERRER META REFERRER=NEVER META REFERRER=NO-REFERRER IMG REFERRERPOLICY=NO-REFERRER
Chrome N Y Y Y Y Y
Firefox N Y Y N N Y
Edge/IE N Y N Y N N

可以看出Chrome浏览器对各种写法都支持的最好,棒棒哒;Firefox支持所有标准的写法,但是不支持没有写在head标签中的meta标签;Edge/IE则不支持MDN里定义的”no-referrer”配置项,果然是个古董。。。

总的来说,保证最佳效果的最简单的写法就是添加一个meta标签“,这样就不用考虑浏览器的差别了,虽然这种写法并不被官方推荐(主要还是要迁就IE这个古董,放弃了理论上更为正确的标准)。

场景

最近公司项目需求中涉及到需要引用微信朋友圈中的图片资源,结果被腾讯的防盗链系统拦截,所有的图片都变成了令人尴尬的模样。今天咱们讨论的主题即看我如何习得化解之法

402.com 5

402.com,防盗链效果图

解决方案

解决方案

目前常用方法无外乎两种,第一种是通过第三方跳板服务:
这些服务一般多是通过后端代理的方式暴露出跳板api,使用方在调用时通过传参的方式将要请求的url传到代理服务器,代理服务器作为中间方再去请求腾讯资源代理服务器的图片资源,拿到资源后返还给调用方,之前有一些稳定的跳板服务,比如QQ浏览器(一家人应该不会有问题)提供的

http://read.html5.qq.com/image?src=forum&q=5&r=0&imgflag=7&imageUrl=

在上述链接后面给出原始图片的url,然后就可以坐等QQ跳板服务为我们取回想要的图片

然鹅。。。

402.com 6

QQ浏览器也加了防盗链校验

果然是一家人。。。
只能尝试第二种方式了

第二种方案就是让浏览器发图片请求时,请求头不带上Referer头信息。像这种控制代理动作,一般通过meta标签来进行设置,最终在meta找到了想要的

referrer controlling the content of the HTTP Referer HTTP header
attached to any request sent from this document:

402.com 7

referrer取值

参考上面的取值含义,我们只需要在所需页面的<head>中加上:

<meta name="referrer" content="no-referrer" />

效果图

402.com 8

Referer没了,图片也正常显示了[手动滑稽笑脸]

添加ReferrerPolicy属性

添加meta标签相当于对文档中的所有链接都取消了referrer,而ReferrerPolicy则更精确的指定了某一个资源的referrer策略。关于这个策略的定义可以参照MDN。比如我想只对某一个图片取消referrer,如下编写即可:

<img src=”xxxx.jpg” referrerPolicy=”no-referrer” />

1
<img src="xxxx.jpg"  referrerPolicy="no-referrer" />

Tips

问题

问题很简单,就是我希望在自己的页面里用`来引用其他网站的一张图片,但是他的网站设置了防盗链的策略,会在后台判断请求的Referrer属性是不是来自于一个非本域名的网站,如果来源不是本域名就返回403 forbidden`。我的目的就是用最方便的方法使得我的页面能够不受他的防盗链策略的影响。

成功引起注意

当时近距离遇到防盗链:这么神奇,这是怎么实现的?

随即chromeF12->开发者工具,取出显示成防盗链样式的图片URL,发现和源链接没有区别。新开一个tab,Ctrl+V->Enter,什么鬼?能正常显示啊!腾讯真nb?能知道我是直接浏览器打开而不是偷偷塞到img标签的src?

直觉告诉我,肯定两种方式发送的请求图片的Request Header有区别

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图