全球彩票平台_全球彩票注册平台|官网下载地址

热门关键词: 全球彩票平台,全球彩票注册平台,全球彩官网下载地址

图片防盗链,跨域访问和防盗链基本原理

跨域访问和防盗链基本原理(一)

2015/10/18 · HTML5 · 跨域, 防盗链

原文出处: 童燕群 (@童燕群)   

1、使用控制台查看Referer属性

1、使用控制台查看Referer属性

跨域访问和防盗链基本原理(二)

2015/10/18 · HTML5 · 跨域, 防盗链

原文出处: 童燕群 (@童燕群)   

ngx_http_rewrite_module是Nginx服务器的重要模块之一,它一方面实现了URL的重写功能,另一方面为Nginx服务器提供反向代理服务提供了支持,同时,我们可以利用URL重写功能完成一些其他工作,达到特殊的效果。

一、什么是防盗链

网站资源都有域的概念,浏览器加载一个站点时,首先加载这个站点的首页,一般是index.html或者index.php等。页面加载,如果仅仅是加载一个index.html页面,那么该页面里面只有文本,最终浏览器只能呈现一个文本页面。丰富的多媒体信息无法在站点上面展现。

那么我们看到的各类元素丰富的网页是如何在浏览器端生成并呈现的?其实,index.html在被解析时,浏览器会识别页面源码中的img,script等标签,标签内部一般会有src属性,src属性一般是一个绝对的URL地址或者相对本域的地址。浏览器会识别各种情况,并最终得到该资源的唯一地址,加载该资源。具体的加载过程就是对该资源的URL发起一个获取数据的请求,也就是GET请求。各种丰富的资源组成整个页面,浏览器按照html语法指定的格式排列获取到各类资源,最终呈现一个完整的页面。因此一个网页是由很多次请求,获取众多资源形成的,整个浏览器在一次网页呈现中会有很多次GET请求获取各个标签下的src资源。

图片 1

上图是一篇本站的博客网页呈现过程中的抓包截图。可以看到,大量的加载css、js和图片类资源的get请求。

观察其中的请求目的地址,可以发现有两类,一个是本站的43.242段的IP地址,这是本站的空间地址,即向本站自身请求资源,一般来说这个是必须的,访问资源由自身托管。另外一类是访问182的网段拉取数据。这类数据不是托管站内的,是在其他站点的。浏览器在页面呈现的过程,拉取非本站的资源,这就称“盗链”。

准确的说,只有某些时候,这种跨站访问资源,才被称为盗链。假设B站点作为一个商业网站,有很多自主版权的图片,自身展示用于商业目的。而A站点,希望在自己的网站上面也展示这些图片,直接使用:

<img src=";

1
<img src="http://b.com/photo.jpg"/>

这样,大量的客户端在访问A站点时,实际上消耗了B站点的流量,而A站点却从中达成商业目的。从而不劳而获。这样的A站点着实令B站点不快的。如何禁止此类问题呢?

HTTP协议和标准的浏览器对于解决这个问题提供便利,浏览器在加载非本站的资源时,会增加一个头域,头域名字固定为:

Referer:

1
Referer:

而在直接粘贴地址到浏览器地址栏访问时,请求的是本站的该url的页面,是不会有这个referer这个http头域的。使用Chrome浏览器的调试台,打开network标签可以看到每一个资源的加载过程,下面两个图分别是主页面和一个页面内资源的加载请求截图:

图片 2

图片 3

这个referer标签正是为了告诉请求响应者(被拉取资源的服务端),本次请求的引用页是谁,资源提供端可以分析这个引用者是否“友好”,是否允许其“引用”,对于不允许访问的引用者,可以不提供图片,这样访问者在页面上就只能看到一个图片无法加载的浏览器默认占位的警告图片,甚至服务端可以返回一个默认的提醒勿盗链的提示图片。

一般的站点或者静态资源托管站点都提供防盗链的设置,也就是让服务端识别指定的Referer,在服务端接收到请求时,通过匹配referer头域与配置,对于指定放行,对于其他referer视为盗链。

1 赞 1 收藏 评论

图片 4

(1)本站请求本站资源

(1)本站请求本站资源

二、跨域访问基本原理

在上一篇,介绍了盗链的基本原理和防盗链的解决方案。这里更深入分析一下跨域访问。先看看跨域访问的相关原理:跨网站指令码。维基上面给出了跨站访问的危害性。从这里可以整理出跨站访问的定义:JS脚本在浏览器端发起的请求其他域(名)下的网站数据的HTTP请求。

这里要与referer区分开,referer是浏览器的行为,所有浏览器发出的请求都不会存在安全风险。而由网页加载的脚本发起请求则会不可控,甚至可以截获用户数据传输到其他站点。referer方式拉取其他网站的数据也是跨域,但是这个是由浏览器请求整个资源,资源请求到后,客户端的脚本并不能操纵这份数据,只能用来呈现。但是很多时候,我们都需要发起请求到其他站点动态获取数据,并将获取到底数据进行进一步的处理,这也就是跨域访问的需求。

 

现在从技术上有几个方案去解决这个问题。

域名跳转

通过Rewrite功能可以实现一级域名跳转,也可以实现多节域名跳转。在server块中配置Rewrite功能即可。
下面是几个例子:

    #  例1
    ...
    server
    {
          listen 80;
          server_name  jump.myweb.name;
          rewrite  ^/  http://jump.myweb.info;
          ...
    }
    ...

    #  例2
    ...
    server
    {
          listen 80;
          server_name  jump.myweb.name  jump.myweb.info;
          if ($host  ~  myweb.info)  #注意正则表达式中对点号“.”要用“”进行转义
          {
                rewrite ^(.*)  http://jump.myweb.name$1 permanent;  #多域名跳转
          }
          ...
    }
    ...

    #例3
    ...
    server
    {
          listen 80;
          server_name  jump1.myweb.name  jump2.myweb.name;
          if ($http_host  ~*  ^(.*).myweb.name$)
          {  
                rewrite  ^(.*)  http://jump.myweb.name$1;    #  三级域名跳转
                break;
          }      
          ... #其他配置
    }
    ... #其他配置

在上面的例子中展示了通过Rewrite功能完成域名跳转的相关配置。
在例1中,客户端访问http://jump.myweb.name时,URL将被Nginx服务器重写为http://jump.myweb.info,客户端得到的数据其实是由http://jump.myweb.info响应的。
在例2中,客户端访问http://jump.myweb.info/reqsource时,URL将被Nginx服务器重写为http://jump.myweb.name/reqsource,客户端得到的数据实际上是由http://jump.myweb.name响应的。
在例3中,客户端访问http://jump1.myweb.name/reqsource或者http://jump2.myweb.name/reqsource,URL都将被Nginx服务器重写为http://jump.myweb.name/reqsource。

本文由全球彩票平台发布于全球彩官网下载地址Web前端,转载请注明出处:图片防盗链,跨域访问和防盗链基本原理

TAG标签: 全球彩票平台
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。