Java实现图片防盗链功能

已于 2024-05-07 10:43:15 修改
阅读量475 收藏 2
点赞数 2
文章标签: java spring boot 图片防盗链
于 2024-05-07 10:38:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/youyangrensheng/article/details/138522502
版权

# 前言:

出于安全考虑,我们需要后端返回的图片只允许在某个网站内展示,不想被爬虫拿到图片地址后被下载。或者,不想浏览器直接访问图片链接。

出于性能考虑,不想要别人的网站,拿着我们的图片链接去展示,白白消耗自己的服务器资源。

故而可在springboot中,使用简单的图片防盗链规则。拦截掉一些处理。

# 代码实现(简易版,代码写死配置)

1.创建拦截器类

import org.springframework.web.servlet.HandlerInterceptor;import org.springframework.web.servlet.ModelAndView;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;public class ImageProtectionInterceptor implements HandlerInterceptor {    private static final String ALLOWED_DOMAIN = "baidudu.com"; // 允许的域名    @Override    public boolean preHandle(HttpServletRequest request, HttpServletResponse 
        response, Object handler) throws Exception {        // 获取请求的 URL        String requestUrl = request.getRequestURL().toString();        // 判断请求是否以图片后缀结尾        if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || 
            requestUrl.endsWith(".jpeg")) {            // 获取请求的来源域名            String referer = request.getHeader("Referer");            // 检查来源域名是否符合预期            if (referer != null && referer.contains(ALLOWED_DOMAIN)) {                return true; // 符合防盗链要求,放行请求     
             } else {
             // 返回 403 Forbidden
             response.sendError(HttpServletResponse.SC_FORBIDDEN);    
             return false; // 拦截请求            }        }        return true; // 对非图片资源请求放行
      }
   }

2.注册拦截器

import org.springframework.context.annotation.Configuration;import org.springframework.web.servlet.config.annotation.InterceptorRegistry;import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configurationpublic class WebConfig implements WebMvcConfigurer {    @Override    public void addInterceptors(InterceptorRegistry registry) {        // 注册拦截器,拦截所有请求        registry.addInterceptor(new ImageProtectionInterceptor())                .addPathPatterns("/**"); // 拦截所有请求    }}

# 代码实现(灵活配置)

1. 在 application.yml 中配置信息

# 图片防盗链配置img-protect:  # 图片防盗链保护开关  enabled: true  # 是否允许浏览器直接访问  allowBrowser: false  # 图片防盗链白名单,多个用逗号分隔【不填则所有网站都拦截】  allowReferer: baidudu.com

2. 创建配置文件映射类

import org.springframework.boot.context.properties.ConfigurationProperties;import org.springframework.stereotype.Component;@Component
@ConfigurationProperties("img-protect")
@Data
public class ImgProtectConfig {  

    private boolean enabled;    private boolean allowBrowser;    private String allowReferer;}

3.创建拦截器类

import 上方2-2创建的类路径.ImgProtectConfig;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.stereotype.Component;import org.springframework.web.servlet.HandlerInterceptor;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import java.util.Arrays;import java.util.HashSet;import java.util.Set;@Componentpublic class ImageProtectionInterceptor implements HandlerInterceptor {    @Autowired    private ImgProtectConfig imgProtectConfig;    @Override    public boolean preHandle(HttpServletRequest request, HttpServletResponse 
      response, Object handler) throws Exception {        // 判断是否开启图片防盗链功能        if (!imgProtectConfig.getEnabled()){            return true;        }        // 获取请求的 URL        String requestUrl = request.getRequestURL().toString();        // 判断请求是否以图片后缀结尾        if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || 
           requestUrl.endsWith(".jpeg")) {            // 获取请求的来源域名            String referer = request.getHeader("Referer");            // 检查来源域名是否符合预期,referer 为 null 则说明是浏览器直接访问。            if (referer == null && imgProtectConfig.getAllowBrowser()){                return true; // 符合防盗链要求,放行请求            }else if (referer != null && isAllowedDomain(referer)) {                return true; // 符合防盗链要求,放行请求            } else {                response.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回 403 Forbidden                return false; // 拦截请求            }        }        return true; // 对非图片资源请求放行    }    // 检查是否来自允许的域名    private boolean isAllowedDomain(String referer) {        // 获取允许的域名        String allowedReferers = imgProtectConfig.getAllowReferer();        // 如果允许的域名不为空        if (allowedReferers.trim() != null && !"".equals(allowedReferers.trim())) {            // 将允许的域名分割成字符串数组            Set<String> allowedDomains = new HashSet<>(Arrays.asList(allowedReferers.split(",")));            // 遍历允许的域名            for (String allowedDomain : allowedDomains) {                // 如果请求的域名包含允许的域名,则返回true                if (referer.contains(allowedDomain.trim())) {                    return true;                }
              }
          }        // 否则返回false        return false;    }}

4.注册拦截器​​​​​​​

import org.springframework.context.annotation.Configuration;import org.springframework.web.servlet.config.annotation.InterceptorRegistry;import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configurationpublic class WebConfig implements WebMvcConfigurer {// 不能再使用 new 方式创建对象 !!! @Autowired    private ImageProtectionInterceptor imageProtectionInterceptor;    @Override    public void addInterceptors(InterceptorRegistry registry) {        // 注册拦截器,拦截所有请求        registry.addInterceptor(imageProtectionInterceptor)                .addPathPatterns("/**"); // 拦截所有请求    }}

# 注意:

以上防盗链拦截器基本实现可以对付一般情况下的图片盗链,但并不能保证绝对安全。

可能出现以下等情况:

Referer 伪造:恶意客户端可以伪造 referer 头。攻击者可以伪造有效的 referer 来绕过保护。

漏报:攻击者可能找到绕过 referer 检查的方法(例如使用 data URI 或 base64 编码的图片)。

误报:合法用户可能因为 referer 不匹配而被阻止(例如隐私浏览器或代理服务器)。

反向代理:攻击者可以在url路径中,添加域名白名单作为反向代理路径,绕开代码的contains方法检查。

雁凡彡
关注
JAVASpringBoot 实现图片防盗链的技术指南
木头
04-11 196
JAVASpringBoot 实现图片防盗链的技术指南
java 盗链_javaWeb防止恶意登陆或防盗链的使用
weixin_33892912的博客
02-15 477
使用场景:明明引用了一个正确的图片地址,但显示出来的却是一个红叉或写有“此图片仅限于***网站用户交流沟通使用”之类的“假图片”。用嗅探软件找到了多媒体资源的真实地址用下载软件仍然不能下载。下载一些资源时总是出错,如果确认地址没错的话,大多数情况都是遇上防盗链系统了。常见的防盗链系统,一般使用在图片、音视频、软件等相关的资源上。实现原理:把当前请求的主机与服务器的主机进行比对,如果不一样则就是恶意...
图片防盗链.java
05-26
图片防盗链.java图片防盗链.java图片防盗链.java
java实现防盗链
07-28 483
浏览器中直接输入URL的时候,它的头文件是空的,因此,可以在访问的时候做两个判断:头文件是否为空以及以什么页面进行跳转,如果不符合跳到错误页面即可。   什么是Referer? 这里的 Referer 指的是HTTP头部的一个字段,也称为HTTP来源地址(HTTP Referer),用来表示从哪儿链接到目前的网页,采用的格式是URL。换句话说,借着 HTTP Referer 头部网页可以...
SpringBoot实现图片防盗链功能
北海_南风
04-22 692
出于安全考虑,我们需要后端返回的图片只允许在某个网站内展示,不想被爬虫拿到图片地址后被下载。或者,不想浏览器直接访问图片链接。出于性能考虑,不想要别人的网站,拿着我们的图片链接去展示,白白消耗自己的服务器资源。故而可在springboot中,使用简单的图片防盗链规则。拦截掉一些处理。
小记图片防盗链
weixin_33893473的博客
08-26 127
刚被网友问了一下说自己站图片被别人盗了,想加防盗链,故此,写了下Demo:   步骤很简单: 1:用IHttpHandler来处理图片请求2:对请求来源和来源IP进行判断3:分支返回图片       下面实战示例: 1:新建web站点项目:ImageLink 2:再建类库项目:ImageLinkClass 3:类库添加类:ImageLinkFilter 4:web站点添加...
关于Java防盗链
幻灭的专栏
01-10 8940
   对于防盗链技术,网上提供了很多很多的相关技术,但是不是特别复杂就是效果不好。   这里在网上找到一种思路,就是关于HTTP协议响应头中包含的Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。所以我们可以通过得到响应头中包含的referer来判断其请求来自哪里,如果不是本系统页面的请求则可能是盗链。   在ASP中request有ServerVariables("HTTP_REFERER")方法直接给我们提供类似防盗链的方式。可是我们的Java不直接提供支持,所以对
SpringBoot三招搞定图片防盗链,再也不用担心流量被偷!
cly10011的博客
02-06 711
最近我的个人博客遇到一件糟心事——某天查看服务器日志,发现图片请求量暴增3倍!顺着访问记录查下去,结果发现十几个营销号网站居然直接盗用我的图片链接。每月几十G的流量就这么白白浪费,气得我连夜研究出这套SpringBoot防盗链方案,亲测有效!举个栗子🌰:你花大价钱买了云服务器,精心制作了原创图片。结果隔壁老王在他的网站直接用,用户访问老王网站时,图片加载消耗的却是你的服务器流量!这就是典型的盗链行为。防盗链核心原理: 当浏览器请求图片时,服务器会检查请求头中的字段(即来源页面地址)。如果是非法站点,直接返
java防盗链在报表中的应用实例(推荐)
09-01
本文将详细介绍如何利用Java实现防盗链功能,并提供一个具体的应用实例。 首先,了解防盗链的基本概念。防盗链(Anti-Leech)是指防止其他网站未经许可直接引用或下载你网站上的资源,如图片、视频或报表等,这可能...
jsp实现防盗链的方法
10-23
JSP(JavaServer Pages)作为流行的动态网页技术,提供了实现防盗链功能的手段。下面我们将详细探讨如何使用JSP实现防盗链。 首先,我们需要理解防盗链的基本原理。防盗链的核心是判断请求来源,通常我们希望只有从...
文件防盗链实现(射雕英雄java传系列)
03-17
至于“testdownload”这个压缩包子文件,可能是博主提供的示例代码或者测试用例,用于演示如何实现防盗链功能。通常,这样的代码示例会包括请求处理逻辑、URL构建、Token生成和验证等相关部分。 总的来说,实现文件...
java图片盗链
09-13
java图片盗链
java 防盗链详解及解决办法
08-29
主要介绍了 java 防盗链详解及解决办法的相关资料,这里介绍了防盗链的概念、产生原因及Http中的referer,最后介绍解决办法,需要的朋友可以参考下
Java防盗链实现
weixin_33733810的博客
03-14 407
对于防盗链技术,网上提供了很多很多的相关技术,但是不是特别复杂就是效果不好。 这里在网上找到一种思路,就是关于HTTP协议响应头中包含的Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。所以我们可以通过得到响应头中包含的referer来判断其请求来自哪里,如果不是本系统页面的请求则可能是盗链。 在ASP中request有ServerV...
Nginx配置防盗链,服务端JAVA实现(可用作视频、文件、图片资源等)
weder的博客
05-06 815
一、实现原理 类似对称加密技术,在Nginx端设置好密钥,然后在服务端使用相同的密钥进行md5加密,生成资源链接后,再通过该链接进行访问Nginx,Nginx对链接信息进行校验通过后方可通行。 二、Nginx配置 1.进入到Nginx的安装目录 2.输入命令./configure --with-http_secure_link_module,安装secure_link模块,接着执行make、make install 3.执行完毕后,nginx -V查看是否成功安装 4.进入到nginx的配置文件ngi
java 图片防盗_java 解决图片防盗链
weixin_42097189的博客
02-12 457
< %@page contentType="image/jpeg" import="java.io.OutputStream,java.io.InputStream,java.net.URL,java.net.URLConnection" language="java"%>< %//response.reset();try{OutputStream os = response.g...
java防盗链
开心的专栏
03-07 2864
一.防盗链的概念 内容不在自己的服务器上,通过技术手段将其他网站的内容(比如一些音乐、图片、软件的下载地址)放置在自己的网站中,通过这种方法盗取其他网站的空间和流量。 二.防盗链的产生 一般情况下,http请求时,一个完整的页面并不是一次全部传送到客户端的。如果请求的是一个带有许多图片和其它信息的页面,那么最先的一个Http请求被传送回来的是这个页面的文本,然后通过客户端的浏览器对这段文本的
java 图片防盗_图片、文件防盗链
weixin_29022115的博客
02-16 434
关于图片盗链这个问题,毕竟是自己的劳动成功,很多人不希望别人就那么轻易地偷走了。这个功能在很多的论关于图片盗链这个问题,毕竟是自己的劳动成功,很多人不希望别人就那么轻易地偷走了。 这个功能在很多的论坛上都具有,可能是因为盗链的行为太多了吧反盗链的程序其实很简单,熟悉ASP.NET 应用程序生命周期的话很容易就可以写一个,运用HttpModule在BeginRequest事件中拦截请求就ok了,剩下...
Java环境下文件防盗链技术的实现方案
最新发布
weixin_42527589的博客
03-13 797
在互联网高速发展的今天,数字化内容已成为各大网站和企业的核心资产。然而,随着在线内容的日益丰富和网络技术的不断进步,内容被盗用和非法分享的情况屡见不鲜。防盗链技术应运而生,它是一种防止网站资源被非法引用的保护机制。防盗链技术的核心思想是确保网站上的资源(如图片、视频、文档等)只能在授权的网站或应用中使用。通过对请求资源的源地址(Referer)进行验证,或者通过一些特定的验证机制,如Token验证、时间戳签名等技术手段,确保只有合法用户才能访问和使用这些资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值