防盗链的原理与兑现

防盗链的原理与实现

    要实现防盗链，我们就必须先理解盗链的实现原理，提到防盗链的实现原理就不得不从HTTP协议说起，在HTTP协议中，有一个表头字段叫referer，采用URL的格式来表示从哪儿链接到当前的网页或文件。换句话说，通过referer，网站可以检测目标网页访问的来源网页，如果是资源文件，则可以跟踪到显示它的网页地址。有了referer跟踪来源就好办了，这时就可以通过技术手段来进行处理，一旦检测到来源不是本站即进行阻止或者返回指定的页面。

如果想对自己的网站进行防盗链保护，则需要针对不同的情况进行区别对待。如果网站服务器用的是apache，那么使用apache自带的Url Rewrite功能可以很轻松地防止各种盗链，其原理是检查refer，如果refer的信息来自其他网站则重定向到指定图片或网页上。

注：简言之，HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器我是从哪个页面链接过来的，服务器籍此可以获得一些信息用于处理。比如从我主页上链接到一个朋友那里，他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站。   Referer其实应该是英文单词Referrer，不过拼错的人太多了，所以编写标准的人也就将错就错了。

 Request.ServerVariables("HTTP_REFERER")的用法(防外连接)   下列情况是从浏览器的地址栏正常取得Request.ServerVariables("HTTP_REFERER")：   1) 直接用<a href="">  

2) 用Submit或<input type="image">提交的表单(POST或GET) 

3) 使用JAvaScript提交的表单(POST或GET)  

下面我们再看看Request.ServerVariables("HTTP_REFERER")不能正常取值的情况： 

1) 从收藏夹链接 

2) 单击主页或自定义的地址  

3) 在浏览器中直接输地址  

4) 使用JavaScript的Location.href或者是Location.replace()  

5) <%Response.Redirect%> 

6) <%Response.AddHeader%>或者是<mete http-equiv="refresh">转向  

7) 用XML加载地址

8）从迅雷或者其他软件下载时

防外链代码例子（C#）：   if (Request.ServerVariables["HTTP_REFERER"] == null || !Request.ServerVariables["HTTP_REFERER"].ToString().Contains(Request.ServerVariables["HTTP_HOST"].ToString()))   {   Server.Transfer("Error.aspx");   }   =========================================================== 

       下列情况是从浏览器的地址栏正常取得

Request.ServerVariables("HTTP_REFERER")的:  

1.直接用<a href>  

2.用Submit或<input type=image>提交的表单(POST or GET)  

3.使用Jscript提交的表单(POST or GET)  

下面我们再看看Request.ServerVariables("HTTP_REFERER")不能正常取值的情况:   1.从收藏夹链接   2.单击'主页'或者自定义的地址   3.利用Jscript的location.href or location.replace()   4.在浏览器直接输入地址   5.<%Response.Redirect%>   6.<%Response.AddHeader%>或<meta http-equiv=refresh>转向   7.用XML加载地址   显然，Request.ServerVariables("HTTP_REFERER")在多数情况下是不能正常工作的，下面我们看一个例子:   ref.asp   <%   response.write "You came from: " & request.servervariables("http_referer")   %>   ref.htm   <%   Response.AddHeader "Refresh", "10;URL=ref.asp"   %>   <meta http-equiv='refresh' content='10;URL=ref.asp'>   <form method=GET action=ref.asp name=getform>   <input type=submit value=' Go there (GET) >> '>   <input type=image style='cursor:hand'>   </form><p>   看看上面的代码会得到什么的结果.   <form method=POST action=ref.asp name=postform>   <input type=submit value=' Go there (POST) >> '>   <input type=image style='cursor:hand'>   </form><p>   <a href='ref.asp'>直接链接</a><p>   <a href='#' onclick='window.location.href="ref.asp";return false;'>Javascript location</a><p>   <a href='#'onclick='window.location.replace("ref.asp");return false;'>Javascript replace</a><p>   <a href='#' onclick='document.getform.submit();return false;'>javascript GET</a><p>   <a href='#' onclick='document.postform.submit();return false;'>javascript POST</a>   Request.ServerVariables(HTTP_REFERER)的工作方式   在JSP中获取REFERER的方式是：request.getHeader("REFERER");    在PHP中获取REFERER的方式是：$_SERVER['HTTP_REFERER'];

总结：为了防止盗链的发生不应该直接给出下载地址，而应当每次下载前都必须验证REFERER的来源和用户的权限需要动态计算出地址，然后给出真正的下载地址。