Asp.net防止盜鏈的實現原理分析

2020-01-18 00:43:36

字體：大中小

來源：轉載

供稿：網友

如果被引用的站比較小這樣外站盜鏈帶來的“無作用”流量就給站長帶來了壓力了（流量也是要錢滴）。對于防盜鏈可以從兩個方面來防，一個是服務器，一個是程序里面判斷。各個服務器的判斷不一樣，iis需要安裝特定的防盜鏈軟件。我們今天主要討論的是程序里實現防盜鏈。

原理解釋

網上現在比較流行的是使用handler來實現防盜鏈。具體的意思如下：專門新建一個針對某種文件請求的處理類（繼承于IHttpHandler）并在 web.config里面配置好所有的該文件請求都指向該類。然后在類里面判斷該請求的前一次請求是不是存在并且指向我們站的域名，如果存在則認為不是盜鏈，返回真實的文件。否則返回error圖片。

讓我們設想一下如果現在另外一個網站引用了我們站的圖片，并應用到了一篇文章當中。現在有個人請求那個網站的文章，用戶的request是向他們的服務器發出的，他們站的服務器返回html讓瀏覽器解析。瀏覽器解析到我們的圖片地址時他會向我們站發起這個圖片的請求。因為我們程序的設置這個請求會被轉發到我們特定的類做處理，程序判斷這個request前面的請求是不是為空（顯然它只請求了我們的圖片其他沒有請求，所以當然沒有前面的請求），為空則返回 error圖片。理解了上面的過程就容易知道為什么請求我們站的那個網頁時里面的圖片則正確顯示了，用戶顯示request了那個頁面，所以里面當然有前面訪問的記錄。當瀏覽器解析我們站的圖片時候就正確返回了。不知道大家懂了沒呢？

代碼實現

首先創建一個類繼承于IHttpHandler，我這里就叫做ForbiddenInvaliteDownload類了：
代碼

復制代碼代碼如下:

 
public bool IsReusable 
{ 
get { return true; } 
} 
public void ProcessRequest(HttpContext context) 
{ 
if (null != context.Request.UrlReferrer) 
{ 
context.Response.Expires = 0; 
context.Response.Clear(); 
context.Response.ContentType = "image/jpg"; 
context.Response.WriteFile(context.Request.PhysicalPath); 
context.Response.End(); 
} 
else 
{ 
context.Response.Expires = 0; 
context.Response.Clear(); 
context.Response.ContentType = "text/html"; 
context.Response.Write("盜鏈"); 
context.Response.End(); 
} 
} 

代碼很少，大家一看就明白了。就是用context.Request.UrlReferrer這個判斷一下前面一個請求是否存在，存在則認為是合法的，否則不合法。
僅僅是這個類還不能將所有的jpg請求轉發過來，我們需要配置一下webconfig，在System.Web下配置：
代碼

復制代碼代碼如下:

 
<httpHandlers> 
<add verb="*" path="*.jpg" type="Namespace.ForbiddenInvaliteDownload,Namespace"/> 
</httpHandlers> 

這里還要提到的是IIS默認是不會為JPG文件發送請求的，而是直接獲取。所以我們還要在iis里面配置一下讓所有的jpg請求都轉發到我們的那個處理程序，而不是iis默認的直接獲得。配置如圖：

至此，你的網站已經可以防止jpg文件被盜了。當然，其他的zip等等文件同樣也可以實現，您可以處理一個通用類，根據請求的后綴判斷是什么類型從而進行操作。下面是效果圖：

結束了嗎
上面的方式并不能防止迅雷等下載軟件的下載，在迅雷里面輸入這些地址照樣可以下載。如果別的站引用了你的某個.zip的文件鏈接，這樣還是可以直接下載到的。那該如何解決呢？我目前想到的就是加入session驗證。
如果用戶訪問了你的下載頁面則在load里面設置session[“visited”]=”true”，然后在下載里面增加一個session驗證，代碼如下（注意，需要繼承
System.Web.SessionState.IRequiresSessionState才能使用session）：
代碼

復制代碼代碼如下:

 
if (null != context.Request.UrlReferrer && context.Session["visited"] == "true") 
{ 
context.Response.Expires = 0; 
context.Response.Clear(); 
context.Response.ContentType = "image/jpg"; 
context.Response.WriteFile(context.Request.PhysicalPath); 
context.Response.End(); 
} 
else 
{ 
context.Response.Expires = 0; 
context.Response.Clear(); 
context.Response.ContentType = "image/jpg"; 
context.Response.WriteFile(context.Request.PhysicalApplicationPath + "Images/2.jpg"); 
context.Response.End(); 
} 