一、首先了解下 referer 的原理
request.getHeader("referer")
在开发web程序的时候,有时我们需要
得到用户是从什么页面连过来的,这就用到了referer。
它是http协议,所以任何能开发web程序的语言都可以实现,比如jsp中是:
request.getHeader("referer");
php是$_SERVER['HTTP_REFERER']。其他的我就不举例了(其实是不会其他的语言)。
那它能干什么用呢?我举两个例子:
1,防止盗连,比如我是个下载软件的网站,在下载页面我先用referer来判断上一页面是不是自己网站,如果不是,说明有人盗连了你的下载地址。
2,电子商务网站的安全,我在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站,如果不是,可能是黑客用自己写的一个表单,来提交,为了能跳过你上一页里的javascript的验证等目的。
使用referer的注意事项:
如果我是直接在浏览器里输入有referer的页面,返回是null(jsp),也就是说referer只有从别的页面点击连接来到这页的才会有内容。
我做了个实验,比如我的referer代码在a.jsp中,它的上一页面是b.htm,c.htm是一个带有iframe的页面,它把a.jsp嵌在iframe里了。我在浏览器里输入b.htm的地址,然后点击连接去c.htm,那显示的结果是b.htm,
如果我在浏览器里直接输入的是c.htm那显示的是c.htm
referer是浏览器在用户提交请求当前页面中的一个链接时,将当前页面的URL放在头域中提交给服务端的,如当前页面为a.html,它里面有一个b.html的链接,当用户要访问b.html时浏览器就会把a.html作为referer发给服务端.
二、那么如何运用"referer" 来防止盗链下载呢
我们考虑了用filter实现
public class DefendSteal implements Filter
{
protected FilterConfig filterConfig;
protected String[] allowsites;
protected String[] files;
public DefendSteal()
{
}
public void destroy()
{
}
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
throws IOException, ServletException
{
HttpServletRequest req = (HttpServletRequest)request;
HttpServletResponse res = (HttpServletResponse)response;
String suff = req.getRequestURL().substring(req.getRequestURL().lastIndexOf(".")+1);
System.out.println("referer:"+req.getHeader("referer"));
for(int j=0;j<this.files.length;j++){//判断是否有需要阻止的文件类型
if(suff.equalsIgnoreCase(this.files[j])){
if(req.getHeader("referer")==null||"".equals(req.getHeader("referer"))){//这种情况是直接访问实体文件,可防止下载
res.sendRedirect(req.getContextPath()+"/NotExist.html");
}else{
int i=0;
for(i=0;i<this.allowsites.length;i++){
if(req.getHeader("referer").indexOf(allowsites[i])>=0){
break;
}
}
if(i==this.allowsites.length){//不在允许站点列表里,则阻止,这种情况是盗链
res.sendRedirect(req.getContextPath()+"/NotExist.html");
}
}
break;
}
}
chain.doFilter(request, response);
}
public void init(FilterConfig filterConfig)
throws ServletException
{
this.filterConfig = filterConfig;
String strSite = filterConfig.getInitParameter("allowsite");
allowsites = strSite.split(";");
String strfile = filterConfig.getInitParameter("file");
files = strfile.split(";");
}
}
对应的web.xml文件配置如下:
在web.xml中加下如下:
<filter>
<filter-name>DefendSteal</filter-name>
<filter-class>filters.DefendSteal</filter-class>
<init-param>
<param-name>allowsite</param-name>
<param-value>172.19.33.48;172.19.33.91</param-value>
</init-param>
<init-param>
<param-name>file</param-name>
<param-value>flv;gif</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>DefendSteal</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
Allowsite为否充访问的站点
File 为被监测的文件类型
附: 深入理解HTTP协议
http://www.blogjava.net/zjusuyong/articles/304788.html
分享到:
相关推荐
什么是HTTP Referer简言之,HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。比如从我主页上链接...
nginx模块ngx_http_referer_module通常用于阻挡来源非法的域名请求,我们应该牢记。下面这篇文章主要介绍了nginx利用referer指令实现防盗链配置的相关资料,需要的朋友可以参考借鉴,下面来一起看看吧。
以前写过通过URLConnection下载图片等网络资源的代码,不过发现象新浪等网站,都不允许直接连接,所以增强了代码,通过模拟仿造referer来实现下载。
主要介绍了详解php伪造Referer请求反盗链资源,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
主要介绍了使用referer指令配置Nginx服务器来防止图片盗链的方法,文中也简单介绍了referer指令的一些语法和常用参数,需要的朋友可以参考下
本篇文章主要是对javascript操作referer进行了详细的介绍,需要的朋友可以过来参考下,希望对大家有所帮助
HTTP headers是HTTP请求和相应的核心模块,它承载了关于客户端浏览器、请求页面、服务器等相关信息。Referer是HTTP头中的一个属性,告诉服务器我是从哪个页面链接过来的。
如果你的网站以图片为主,哪天发现月底没到流量就快用光了,那就可以利用图片转向,在不修改网页的前提下,把图片下载请求转向到其它空间(比如试用主机),临时过渡。 下面开始讲解,比如你的图片都在img目录下,...
主要介绍了Nginx设置Referer来防止盗图的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
ASP,PHP与.NET伪造HTTP-REFERER方法及防止伪造REFERER方法探讨
ASP,PHP与.NET伪造HTTP-REFERER方法及防止伪造REFERER的方法
本代码是处理android hybrid混合应用,遇到的webview 拦截 header referer 问题的解决。 场景:angular $HTTP 或者js的http请求或者其他。。webview成功拦截get 、post、delete请求,添加header,referer以及body ...
主要介绍了 java 防盗链详解及解决办法的相关资料,这里介绍了防盗链的概念、产生原因及Http中的referer,最后介绍解决办法,需要的朋友可以参考下
laravel-referer, 记住原始访问者引用者 记得一个访问者引用者 在会话中记住访问者的原始引用者。 引用程序为( 优先优先级优先):utm_source 查询参数如果URL中存在外部主机,则来自请求头的Referer的域空白安装你...
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的
主要是根据referfer判断来源,然后跳转到制定页面,以防出现了无法访问页面,用户体验不好