【PHP面试题】什么是防盗链?如何实现防盗链?
一、什么是防盗链?
1、盗链
1) 盗链是指在自己的页面上展示一些并不在自己服务器上的内容。
假设建立了一个小的站点,是一个新站,里面没有内容,也没有什么相关的好看的图片,也没有视频,也没有mp3,也没有等等一些吸引人的静态资源文件。这时候看到别人的一些大站的一些资源相当的不错,此时就出现一个念头,把它直接链接过来,链接到网站中来,就可以了,这种行为就叫做盗链行为。当然有一部分人认为,盗链并不会对原服务器(即所盗链的那个服务器)产生影响,但是在这儿我们要说明一下,盗链本身不是一种很道德的行为,因为它会影响对方的服务器。
2) 整体来说,盗链是获得他人服务器上的资源地址,绕过别人的资源展示页面,直接在自己的页面上向最终用户提供此内容。
即不通过别人的页面来展示别人的资源,而是通过我们自己的页面来展示别人的资源,直接在自己的页面上向最终用户提供内容。这样对用户来说,他并不知道这个资源是谁的,他就认为理所当然就应该是你的,实际上,是从别人那 Copy 来的,这就叫做盗链。
3) 常见的是小站盗用大站的图片、音乐、视频、软件等资源。
如:我们建立一个图片的网站,我们看到百度里面有些图片是比较漂亮的,比较好的,我们可以把它拿过来,直接把那个链接复制过来即可;还有一种情况是,我们看到别人的站点里有一个mp3的音乐不错,我们可以把它放到我们的站点中来,当然也是通过链接的方式,包括视频,包括软件下载,都可以这样去做。
4) 通过盗链的方法可以减轻自己服务器的负担,因为真实的空间和流量均是来自别人的服务器。
如:我们在盗用别人的站点的时候,很多人去盗用它的站点,突然有一天他觉得我的流量用完了,而且我的PV也不差,这个时候他会认为我的整体站是不是比较好,大家是不是都比较喜欢,但其实一看自己的访问量还是很差,在这儿其实是被别人盗链了。其实对于我们来说也是,如果有一天我们发现我们的流量慢慢地在消失,但是我们PV统计,IP统计很少,这个时候我们就应该去考虑是不是被别人防盗链了。
注:虽然能减轻自己服务器的负担,但是增加了别人服务器的负担,因此这是一种不道德的行为。
2、防盗链行为
将别人网站的链接地址拿过来用。新建一个 demo.php,写入如下代码:
<img src="https://www.imooc.com/static/img/index/logo.png">
运行效果:
3、防盗链概念
- 防止别人通过一些技术手段绕过本站的资源展示页面,盗用本站的资源,让绕开本站资源展示页面的资源链接失效;
- 可以大大减轻服务器及带宽的压力。
二、防盗链的工作原理
1、通过 Referer 或者 签名,网站可以检测目标网页访问的来源网页,如果是资源文件,则可以跟踪到显示它的网页地址;
referer:判断 referer 是否与原网站的 referer 一致,不一致则禁止访问;
签名:通过签名的方式去防止,即在访问我们的资源的时候,在网址后面带一个参数,这个参数是我们彼此约定好的签名,这个签名的计算方式是我们彼此约定好的,我们把签名带上,服务器在显示该签名的时候,去判断该签名是否正确,相当于配了一把钥匙去开锁,如果没有问题,就显示图片。签名通常情况下设置要相当对复杂一点,不能让别人轻易猜到。如果我们设置了签名,当我们去访问该图片的时候,不知道签名的方式,此时就没有办法去请求该图片。
2、一旦检测到来源表示本站即进行阻止或者返回指定的页面;
3、通过计算签名的方式,判断请求是否合法,如果合法则显示,否则返回错误信息。
三、防盗链的实现方法
1、Referer
- Nginx 模块
ngx_http_referer_module用于阻挡来源非法的域名请求; - Nginx 指令
valid_referers,全局变量$invalid_referer;
valid_referesnone | blocked | server_names | string … 的用法如下:
none:“Referer” 来源头部为空的情况;blocked:“Referer” 来源头部不为空,但是里面的值被代理或者防火墙删除了,这些值都不以 http:// 或者 https:// 开头;
server_names:“Referer” 来源头部包含当前的 server_names;
valid_referers none // 代表 referer 为空时也合法【有 none】
valid_referers // 代表 referer 为空不合法【没有 none】
valid_referers blocked // 通过代理或者防火墙对 referer 进行了删除
valid_referers server_names // 信任地址(如:imooc.com; *.imooc.com等)
打开配置
/usr/local/nginx/conf/nginx.conf
- 对图片格式进行防盗链:
// 防盗链的实现方法
location ~.*\.(gif|jpg|png|flv|swf|rar|zip)$
{
valid_referers none blocked imooc.com *.imooc.com;
if ($invalid_referer) {
# return 403;
rewrite ^/http://www.imooc.com/403.jpg;
}
}
- 对目录进行防盗链
// 防盗链的实现方法
location /images/
{
valid_referers none blocked imooc.com *.imooc.com;
if ($invalid_referer)
{
# return 403;
rewrite ^/http://www.imooc.com/403.jpg;
}
}
传统防盗链遇到的问题:通过伪造Referer来实现盗链,可以使用加密签名解决该问题。
2、加密签名
- 使用第三方模块
HttpAccessKeyModule实现 Nginx防盗链;
accesskeyon|off 模块开关;accesskey_hashmethod md5|sha-1签名加密方式;accesskey_argGET参数名称;accesskey_signature加密规则(在PHP与Nginx中签名的加密规则要一致,这样才能通过,从而进行访问,否则无法进行访问);
// 防盗链的实现方法
location ~.*\.(gif|jpg|png|flv|swf|rar|zip)$
{
accesskey on;
accesskey_hashmethod md5;
accesskey_arg "key";
accesskey_signature "mypass$remote_addr"; // $remote_addr 客户端IP
}
对于整个签名来说,代表 我们去拿一个字符串去拼接客户端IP,通过 md5 加密得到签名,在PHP端也要这么做,去生成一个签名,去请求图片的时候,nginx 就会去判断签名,将签名进行 md5 加密,然后判断两个值是否一致,如果一致,显示图片;否则显示 403。
例子:
① 配置 /usr/local/nginx/conf/nginx.conf;
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
accesskey on;
accesskey_hashmethod md5;
accesskey_arg sign;
accesskey_signature "jason$remote_addr"; // 表示 "jason"字符串 + 客户端IP 通过md5加密得到签名
}
② 新建 demo2.php
// 客户端IP 进行md5 加密
$sign = mg5('jason', $_SERVER['REMOTE_ADDR']);
echo '
.$sign.'">'; // 该图片是本地存在的图片
注:该方法防盗链的效果是十分有效的,但是每次访问的时候,都要拼接一个 sign,比较繁琐。因此,以上两种方法,各有利弊。