在熱門平臺(tái)上有許多的熱點(diǎn)新聞，熱門的圖片、視頻等資源，每天都吸引大量的用戶觀看和下載。于是就有攻擊者通過爬蟲等一系列技術(shù)手段，把熱門平臺(tái)上的資源拉取到自己的網(wǎng)站然后呈現(xiàn)給用戶，從而攻擊者達(dá)到了即不用提供資源也能賺錢的目的，如下圖所示盜取資源的過程圖：

圖片

    為此，熱門平臺(tái)為了防止其他的小站點(diǎn)盜取其資源，于是就使用防盜鏈來保護(hù)自身資源不被竊取。下面我們聊聊常見的幾種防盜鏈實(shí)現(xiàn)方案。

1、Nginx實(shí)現(xiàn)方案

    在HTTP協(xié)議頭里有一個(gè)Referer的字段，Referer可以告訴服務(wù)器該網(wǎng)頁(yè)請(qǐng)求是從哪里鏈接過來的，如下的請(qǐng)求頭截圖：

圖片

    那么可以利用請(qǐng)求頭上的Referer攜帶的值，使用Nginx在網(wǎng)關(guān)層做防盜鏈，這個(gè)也是最簡(jiǎn)單的實(shí)現(xiàn)防盜鏈功能的方式之一。

    Nginx通過攔截訪問資源的請(qǐng)求，通過valid_referers關(guān)鍵字定義的白名單，校驗(yàn)請(qǐng)求頭中Referer地址是否為本站，如不是本站請(qǐng)求，那么就拒絕這個(gè)請(qǐng)求的訪問，Nginx的配置如下所示：

location ~*\.(gif|jpg|png|jpeg)$ {
    root /web;
    valid_referers none blocked www.longxiabiancheng.com;
    if($invalid_referer){
        return 403;
    }
}

    Nginx的方式可以限制大多數(shù)普通的非法請(qǐng)求，但不能限制有針對(duì)性的攻擊請(qǐng)求，因?yàn)楣粽呖梢酝ㄟ^偽造Referer信息來繞過Nginx的檢查。

2、SpringBoot的過濾器實(shí)現(xiàn)方案

    過濾器同樣是使用Referer的原理，在SpringBoot中聲明一個(gè)過濾器，然后獲取到當(dāng)前請(qǐng)求頭當(dāng)中的Referer，如下代碼所示：

public class MyResourceFilter implements Filter {
    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        //獲取referer
        String referer =request.getHeader("Referer");
        //指定通過的域名
        String allowedDomain = "https://www.longxiabiancheng.com";
        //如果不是可以通過的域名，直接返回
        if(StringUtils.isEmpty(referer) || !referer.startsWith(allowedDomain)){
            response.getWriter().write("longxiabiancheng");
            return;
        }
    }
}

    過濾器中通過比對(duì)Referer中的來源，如果它不是我們?cè)试S的來源，那么就直接拒絕請(qǐng)求。其實(shí)攻擊者依然可以偽裝Referer，所以還是無(wú)法徹底解決資源被盜取的問題。

3、token驗(yàn)證的實(shí)現(xiàn)方案

圖片

    用戶登錄之后服務(wù)器通過生成一個(gè)token，然后每次用戶請(qǐng)求后端都需要將token攜帶給服務(wù)器，如果請(qǐng)求中沒有token或者token解析失敗，就直接拒絕請(qǐng)求的訪問。

    但是這種方式攻擊者依然可以通過先請(qǐng)求我們的登錄接口拿到token后，然后把token放在請(qǐng)求頭上，繼而達(dá)到偽裝成正常的用戶請(qǐng)求，這樣就繞過token驗(yàn)證。

4、時(shí)間戳驗(yàn)證方案

    正常的用戶打開一個(gè)網(wǎng)頁(yè)之后總會(huì)停留一定的時(shí)間，即使此用戶停留的再短也會(huì)比其他的竊取工具（如爬蟲）停留的時(shí)間長(zhǎng)，利用這個(gè)特點(diǎn)在每次響應(yīng)客戶端的時(shí)候，后端給客戶端響應(yīng)一個(gè)時(shí)間戳，然后前端攜帶這個(gè)時(shí)間戳請(qǐng)求后端接口，后端拿到時(shí)間戳后與當(dāng)前的時(shí)間做比對(duì)，核心的代碼如下所示：

private boolean checkTime(HttpServletRequest request, HttpServletResponse response) {
        //獲取時(shí)間戳
        String timestampStr = request.getParameter("timestamp");


        try {
            //時(shí)間戳不存在，直接拒絕訪問
            if (timestampStr == null) {
                response.getWriter().write("不可以繼續(xù)訪問哦");
                return false;
            }


            long timestamp = Long.parseLong(timestampStr);
            long currentTimestamp = new Date().getTime();
            //如果停留的時(shí)間大約指定的時(shí)間  就認(rèn)為不是機(jī)器
            if (Math.abs(currentTimestamp - timestamp) < 500) {
                response.getWriter().write("不可以繼續(xù)訪問哦!");
                return false;
            }
            return true;
        } catch (Exception e) {
            return false;
        }
    }

    請(qǐng)求種的時(shí)間戳與當(dāng)前的時(shí)間計(jì)算差值，如果差值大于設(shè)定的值，我們就認(rèn)為是正常用戶的請(qǐng)求，反之認(rèn)定為盜竊用戶請(qǐng)求，則拒絕訪問。時(shí)間戳的方式也存在一定的誤判，用戶可能確實(shí)就在網(wǎng)頁(yè)上停留很短的時(shí)間。

5、圖形驗(yàn)證碼的實(shí)現(xiàn)方案

    圖形驗(yàn)證碼是一種比較常規(guī)的限制辦法，在下載資源，瀏覽關(guān)鍵信息的時(shí)候，都必須要求用戶手動(dòng)操作驗(yàn)證碼，典型的圖形驗(yàn)證碼如下所示：

圖片

    使用圖形驗(yàn)證碼使得一般的爬蟲工具無(wú)法繞過校驗(yàn)，從而起到保護(hù)資源的目的。

    防盜鏈其實(shí)不是百分之百可以防住資源被盜竊的問題，它只能增加破解的難度，因?yàn)橹灰W(wǎng)站的數(shù)據(jù)能夠正常訪問，那攻擊者就能偽裝成正常用戶來竊取數(shù)據(jù)。在一些大公司中，他們會(huì)去結(jié)合大數(shù)據(jù)分析用戶的行為，將一些不正常的用戶行為定義到黑名單中，然后在黑名單上的用戶請(qǐng)求會(huì)被攔截。