要防止盗链,可以通过验证请求头中的 referer 字段来实现;1. 在 java 中可通过 servlet 或 filter 实现防盗链逻辑,在 servlet 中获取 referer 并判断是否符合预期来源,若不符合则返回 403 错误;2. 使用 filter 可在请求进入业务逻辑前统一拦截处理,适用于更通用的防盗链场景,并支持从配置文件中读取允许的 referer;3. 更严格的验证方式包括使用白名单和完整匹配 referer 值以提高安全性;4. 对于 referer 为空的情况,可根据业务策略选择允许访问、拒绝访问或提供降级方案如身份验证;5. 结合 spring security 可创建自定义 refererfilter 并集成到安全配置中,实现灵活且可配置的安全策略。
直接设置 Referer 来防止盗链,本质上就是在服务器端验证请求头中的 Referer 字段。如果 Referer 不符合你的预期,就拒绝服务。Java 中实现这个并不复杂,但需要根据你的具体应用场景来细化。
解决方案
核心思路是在你的 Servlet 或 Filter 中拦截请求,然后检查 request.getHeader("Referer") 的值。
立即学习“Java免费学习笔记(深入)”;
1. 使用 Servlet 实现
创建一个 Servlet,并在 doGet 或 doPost 方法中进行 Referer 检查。
import java.io.IOException;import javax.servlet.ServletException;import javax.servlet.annotation.WebServlet;import javax.servlet.http.HttpServlet;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;@WebServlet("/protectedResource")public class ProtectedResourceServlet extends HttpServlet { private static final long serialVersionUID = 1L; protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String referer = request.getHeader("Referer"); // 允许的来源 String allowedReferer = "http://www.example.com"; if (referer != null && referer.startsWith(allowedReferer)) { // 允许访问,返回资源 response.getWriter().println("Welcome! This is your protected resource.
"); } else { // 拒绝访问 response.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Invalid Referer."); } } protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { doGet(request, response); }}
这段代码首先获取 Referer,然后检查它是否以 http://www.example.com 开头。如果是,就返回资源;否则,返回 403 错误。
2. 使用 Filter 实现
Filter 可以在 Servlet 之前拦截请求,实现更通用的防盗链逻辑。
import java.io.IOException;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servlet.FilterConfig;import javax.servlet.ServletException;import javax.servlet.ServletRequest;import javax.servlet.ServletResponse;import javax.servlet.annotation.WebFilter;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;@WebFilter("/*") // 拦截所有请求public class RefererFilter implements Filter { private String allowedReferer; public void init(FilterConfig fConfig) throws ServletException { allowedReferer = "http://www.example.com"; // 从配置文件读取 } public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { HttpServletRequest httpRequest = (HttpServletRequest) request; HttpServletResponse httpResponse = (HttpServletResponse) response; String referer = httpRequest.getHeader("Referer"); if (referer != null && referer.startsWith(allowedReferer)) { chain.doFilter(request, response); // 继续处理请求 } else { httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Invalid Referer."); } } public void destroy() { // cleanup }}
Filter 的好处是可以配置拦截的 URL 模式,例如拦截所有请求(”/*”)或特定的目录。allowedReferer 可以从 web.xml 或其他配置文件中读取,更灵活。
3. 更严格的 Referer 验证
仅仅检查 Referer 是否以某个字符串开头可能不够安全,因为攻击者可以伪造 Referer。可以考虑:
白名单: 维护一个允许的 Referer 列表,只允许列表中的 Referer 访问。Referer 完整匹配: 要求 Referer 必须完全匹配某个值。
4. 处理 Referer 为空的情况
有些浏览器或用户可能会禁用 Referer 发送。你需要决定如何处理这种情况。是允许访问,还是拒绝?
if (referer == null || referer.isEmpty()) { // Referer 为空时的处理逻辑 // 可以选择允许访问,或者拒绝访问 // 例如: // chain.doFilter(request, response); // 允许 // 或者 // httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Referer is missing."); // 拒绝}
注意事项:
Referer 可伪造: 这种方法并不能完全防止盗链,因为 Referer 可以被伪造。更可靠的防盗链方法包括使用签名 URL 或 token。HTTPS: 确保你的网站使用 HTTPS,以防止 Referer 在传输过程中被篡改。
如何处理 Referer 为空的情况,以及没有 Referer 的请求?
处理 Referer 为空的情况需要根据你的业务逻辑和安全策略来决定。没有 Referer 的请求可能是用户直接在浏览器地址栏输入 URL,也可能是通过某些工具或设置禁用了 Referer 发送。
策略选择:
允许访问: 如果你的资源对所有人开放,或者你认为 Referer 防盗链只是一个辅助手段,那么可以允许 Referer 为空的请求访问。拒绝访问: 如果你非常重视防盗链,并且认为没有 Referer 的请求可能是恶意访问,那么可以拒绝这些请求。提供降级方案: 可以考虑提供一种降级方案,例如要求用户进行身份验证,或者显示一个验证码。
实现方式:
在你的 Servlet 或 Filter 中,添加对 Referer 为空的判断。
String referer = request.getHeader("Referer");if (referer == null || referer.isEmpty()) { // Referer 为空 // 策略 1:允许访问 // chain.doFilter(request, response); // 策略 2:拒绝访问 // httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Referer is missing."); // 策略 3:提供降级方案 // response.sendRedirect("/login"); // 跳转到登录页面 // 或者 // response.getWriter().println("Please enable Referer in your browser settings.");} else { // Referer 不为空,进行正常的防盗链检查 if (referer.startsWith(allowedReferer)) { chain.doFilter(request, response); } else { httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Invalid Referer."); }}
示例:允许 Referer 为空的请求访问
String referer = request.getHeader("Referer");if (referer == null || referer.isEmpty()) { // 允许 Referer 为空的请求访问 chain.doFilter(request, response);} else { // Referer 不为空,进行正常的防盗链检查 if (referer.startsWith(allowedReferer)) { chain.doFilter(request, response); } else { httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Invalid Referer."); }}
示例:拒绝 Referer 为空的请求访问
String referer = request.getHeader("Referer");if (referer == null || referer.isEmpty()) { // 拒绝 Referer 为空的请求访问 httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Referer is missing.");} else { // Referer 不为空,进行正常的防盗链检查 if (referer.startsWith(allowedReferer)) { chain.doFilter(request, response); } else { httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Invalid Referer."); }}
最佳实践:
用户体验: 在拒绝访问时,提供友好的提示信息,告诉用户为什么无法访问,以及如何解决问题。日志记录: 记录 Referer 为空的请求,以便分析和排查问题。可配置性: 将处理 Referer 为空策略配置化,方便根据实际情况进行调整。
如何结合 Spring Security 使用 Referer 防盗链?
Spring Security 提供了强大的安全控制功能,可以与 Referer 防盗链结合使用,实现更灵活和可配置的安全策略。
1. 创建自定义 Filter
首先,创建一个自定义的 Filter,用于检查 Referer。这个 Filter 需要继承 OncePerRequestFilter,确保每个请求只被执行一次。
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;import org.springframework.web.filter.OncePerRequestFilter;import javax.servlet.FilterChain;import javax.servlet.ServletException;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import java.io.IOException;import java.util.Arrays;import java.util.HashSet;import java.util.Set;public class RefererFilter extends OncePerRequestFilter { private final Set allowedReferers = new HashSet(); private final AntPathRequestMatcher requestMatcher; public RefererFilter(String[] allowedReferers, String path) { this.allowedReferers.addAll(Arrays.asList(allowedReferers)); this.requestMatcher = new AntPathRequestMatcher(path); } @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { if (!requestMatcher.matches(request)) { filterChain.doFilter(request, response); return; } String referer = request.getHeader("Referer"); if (referer != null && allowedReferers.stream().anyMatch(referer::startsWith)) { filterChain.doFilter(request, response); } else { response.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Invalid Referer."); } }}
在这个 Filter 中,allowedReferers 是允许的 Referer 列表,requestMatcher 用于匹配需要进行 Referer 检查的 URL。
2. 配置 Spring Security
在 Spring Security 的配置类中,将自定义的 Filter 添加到 Filter Chain 中。
import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.web.SecurityFilterChain;import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;@Configuration@EnableWebSecuritypublic class SecurityConfig { @Bean public RefererFilter refererFilter() { String[] allowedReferers = {"http://www.example.com", "https://www.example.com"}; return new RefererFilter(allowedReferers, "/protected/**"); // 对 /protected/** 下的资源进行 Referer 检查 } @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(authz -> authz .requestMatchers("/public/**").permitAll() // 允许访问 /public/** 下的资源 .anyRequest().authenticated() // 其他请求需要认证 ) .addFilterBefore(refererFilter(), UsernamePasswordAuthenticationFilter.class); // 在 UsernamePasswordAuthenticationFilter 之前添加 RefererFilter return http.build(); }}
在这个配置中,refererFilter() 方法创建了一个 RefererFilter 实例,并设置了允许的 Referer 列表和需要进行 Referer 检查的 URL 模式。addFilterBefore() 方法将 RefererFilter 添加到 Filter Chain 中,确保它在 UsernamePasswordAuthenticationFilter 之前执行。
3. 配置允许的 Referer
可以将允许的 Referer 列表配置在 application.properties 或 application.yml 文件中,方便修改和管理。
allowed.referers=http://www.example.com,https://www.example.com
然后在 RefererFilter 中读取这些配置。
4. 处理异常情况
可以自定义一个 AuthenticationEntryPoint,用于处理 Referer 验证失败的情况,例如跳转到错误页面或返回特定的错误信息。
优点:
集中管理: Spring Security 提供了集中的安全配置管理,方便维护和扩展。灵活性: 可以根据不同的 URL 模式配置不同的 Referer 检查策略。可配置性: 可以将允许的 Referer 列表配置在配置文件中,方便修改和管理。与其他安全功能集成: 可以与其他 Spring Security 的安全功能(例如认证、授权)集成使用,实现更全面的安全保护。
注意事项:
Filter 顺序: 确保 RefererFilter 在其他需要 Referer 信息的 Filter 之前执行。配置正确性: 确保 Spring Security 的配置正确,避免出现意外的安全漏洞。测试: 对 Referer 防盗链功能进行充分的测试,确保其能够正常工作。
通过结合 Spring Security 使用 Referer 防盗链,可以实现更灵活、可配置和安全的安全策略。
以上就是如何使用Java设置Referer防盗链 Java根据来源设置访问权限示例的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/128210.html
微信扫一扫 
支付宝扫一扫 
