SpringBoot 实现图片防盗链功能

前言

出于安全考虑,我们需要后端返回的图片只允许在某个网站内展示,不想被爬虫拿到图片地址后被下载。或者,不想浏览器直接访问图片链接。

出于性能考虑,不想要别人的网站,拿着我们的图片链接去展示,白白消耗自己的服务器资源。

故而可在springboot中,使用简单的图片防盗链规则。拦截掉一些处理。

1、代码实现

本篇实战代码是简易版,代码写死配置

1-1、创建拦截器类
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;public class ImageProtectionInterceptor implements HandlerInterceptor {private static final String ALLOWED_DOMAIN = "baidudu.com"; // 允许的域名@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 获取请求的 URLString requestUrl = request.getRequestURL().toString();// 判断请求是否以图片后缀结尾if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || requestUrl.endsWith(".jpeg")) {// 获取请求的来源域名String referer = request.getHeader("Referer");// 检查来源域名是否符合预期if (referer != null && referer.contains(ALLOWED_DOMAIN)) {return true; // 符合防盗链要求,放行请求} else {response.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回 403 Forbiddenreturn false; // 拦截请求}}return true; // 对非图片资源请求放行}
}
1-2、注册拦截器
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configuration
public class WebConfig implements WebMvcConfigurer {@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 注册拦截器,拦截所有请求registry.addInterceptor(new ImageProtectionInterceptor()).addPathPatterns("/**"); // 拦截所有请求}
}

2、代码实现(灵活配置)

2-1、在 application.yml 中配置信息
# 图片防盗链配置
img-protect:# 图片防盗链保护开关enabled: true# 是否允许浏览器直接访问allowBrowser: false# 图片防盗链白名单,多个用逗号分隔【不填则所有网站都拦截】allowReferer: baidudu.com
2-2、创建配置文件映射类
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;@Component
@ConfigurationProperties("img-protect")
public class ImgProtectConfig {private boolean enabled;private boolean allowBrowser;private String allowReferer;public boolean getEnabled() {return enabled;}public void setEnabled(boolean enabled) {this.enabled = enabled;}public boolean getAllowBrowser() {return allowBrowser;}public void setAllowBrowser(boolean allowBrowser) {this.allowBrowser = allowBrowser;}public String getAllowReferer() {return allowReferer;}public void setAllowReferer(String allowReferer) {this.allowReferer = allowReferer;}
}
2-3、创建拦截器类
import 上方2-2创建的类路径.ImgProtectConfig;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Arrays;
import java.util.HashSet;
import java.util.Set;@Component
public class ImageProtectionInterceptor implements HandlerInterceptor {@Autowiredprivate ImgProtectConfig imgProtectConfig;@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {// 判断是否开启图片防盗链功能if (!imgProtectConfig.getEnabled()){return true;}// 获取请求的 URLString requestUrl = request.getRequestURL().toString();// 判断请求是否以图片后缀结尾if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || requestUrl.endsWith(".jpeg")) {// 获取请求的来源域名String referer = request.getHeader("Referer");// 检查来源域名是否符合预期,referer 为 null 则说明是浏览器直接访问。if (referer == null && imgProtectConfig.getAllowBrowser()){return true; // 符合防盗链要求,放行请求}else if (referer != null && isAllowedDomain(referer)) {return true; // 符合防盗链要求,放行请求} else {response.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回 403 Forbiddenreturn false; // 拦截请求}}return true; // 对非图片资源请求放行}// 检查是否来自允许的域名private boolean isAllowedDomain(String referer) {// 获取允许的域名String allowedReferers = imgProtectConfig.getAllowReferer();// 如果允许的域名不为空if (allowedReferers.trim() != null && !"".equals(allowedReferers.trim())) {// 将允许的域名分割成字符串数组Set<String> allowedDomains = new HashSet<>(Arrays.asList(allowedReferers.split(",")));// 遍历允许的域名for (String allowedDomain : allowedDomains) {// 如果请求的域名包含允许的域名,则返回trueif (referer.contains(allowedDomain.trim())) {return true;}}}// 否则返回falsereturn false;}}
2-4、注册拦截器
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configuration
public class WebConfig implements WebMvcConfigurer {// 不能再使用 new 方式创建对象 !!! @Autowiredprivate ImageProtectionInterceptor imageProtectionInterceptor;@Overridepublic void addInterceptors(InterceptorRegistry registry) {// 注册拦截器,拦截所有请求registry.addInterceptor(imageProtectionInterceptor).addPathPatterns("/**"); // 拦截所有请求}
}

结束语

以上防盗链拦截器基本实现可以对付一般情况下的图片盗链,但并不能保证绝对安全。

可能出现以下等情况:

  • Referer 伪造: 恶意客户端可以伪造 referer 头。攻击者可以伪造有效的 referer 来绕过保护。

  • 漏报: 攻击者可能找到绕过 referer 检查的方法(例如使用 data URI 或 base64 编码的图片)。

  • 误报: 合法用户可能因为 referer 不匹配而被阻止(例如隐私浏览器或代理服务器)。

  • 反向代理: 攻击者可以在url路径中,添加域名白名单作为反向代理路径,绕开代码的contains方法检查。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/14228.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Spring】Spring事务管理——声明式事务管理代码示例

1、声明式事务管理 步骤一&#xff1a;添加Spring和JDBC的依赖 <dependencies> <!-- Spring Core --> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-context</artifactId> <version>你的S…

python+opencv提取.mp4 视频的每一帧并将其保存为图片

提取 .mp4 视频的每一帧并将其保存为图片&#xff0c;可以使用 cv2 库&#xff08;OpenCV&#xff09;。下面是一个完整的示例代码&#xff0c;演示如何使用 OpenCV 提取视频的每一帧并将其保存为图片&#xff0c;使用时需要将mp4文件及路径放至video_path &#xff0c;提取的图…

02--大数据Hadoop集群实战

前言&#xff1a; 前面整理了hadoop概念内容&#xff0c;写了一些概念和本地部署和伪分布式两种&#xff0c;比较偏向概念或实验&#xff0c;今天来整理一下在项目中实际使用的一些知识点。 1、基础概念 1.1、完全分布式 Hadoop是一个开源的分布式存储和计算框架&#xff0…

C++对C的扩充

C既可用于面向过程的程序设计&#xff0c;也可用于面向对象的程序设计。在面向过程程序设计的领域&#xff0c;C继承了C语言提供的绝大部分功能和语法规定&#xff0c;并在此基础上做了不少扩充&#xff0c;主要有一下几个方面&#xff1a; 1.C的输入输出 C为了方便用户&…

Spring 事务源码分析

前言&#xff1a; 我们知道 Spring 声明式事务是通过 AOP 来实现的&#xff0c;日常项目开发中我们只需要使用 Transactional 注解就可以实现声明式事务&#xff0c;那你知道通过 Transactional 注解怎样实现事务的吗&#xff1f;本篇我们将从源码来分析 Spring 声明式事务的执…

STM32定时器四大功能之定时器编码接口

1什么是编码器接口&#xff1f; 编码器接口接受编码器的正交信号&#xff0c;根据编码器产生的正交信号脉冲控制CNT的自增和自减&#xff0c;从而指示编码器的旋转方向和旋转速度。 每个高级定时器和通用定时器都有一个编码器接口&#xff0c;同时正交编码器产生的正交信号分…

Redis 的持久化(真的好细)

前言 Redis 是一个内存数据库&#xff0c;把数据存储在内存中&#xff0c;而内存中的数据是不持久的&#xff0c;要想数据持久就得将数据存储到硬盘中&#xff0c;而 Redis 相比于 Mysql 这样的关系型数据库最大的优势就在于将数据存储在内存中从而效率更高&#xff0c;速度更快…

docker 安装RabbitMQ-web版本

直接拉去web版本 docker pull rabbitmq:management启动命令 设置用户名 admin 密码123456 docker run -dit --name rabbitmq -p 5672:5672 -p 15672:15672 -e RABBITMQ_DEFAULT_USERadmin -e RABBITMQ_DEFAULT_PASS123456 rabbitmq:management访问地址 http://127.0.0.1:…

配置证书443访问 -- 集成框架

配置证书443访问 前言正文步骤1: 准备证书基于Nginx镜像 前言 由于业务要求需要对当前网络请求服务器不走80端口&#xff0c;进行443 https证书访问。 文档有点丑见谅&#xff0c;我还没加样式 正文 要让运行在Docker容器中的前端应用在443端口上使用SSL/TLS证书&#xff0…

【x264】编码核心函数(x264_encoder_encode)的简单分析

【x264】编码模块&#xff08;x264_encoder_encode&#xff09;简单分析 1.编码帧函数&#xff08;x264_encoder_encode&#xff09;1.1 拷贝一帧并移动到buffer中&#xff08;x264_frame_pop_unused&#xff09;1.2 拷贝一帧送入队列用于确定帧类型&#xff08;x264_lookahead…

EC2 Linux 开机自启脚本:必要性和实现

在 Amazon EC2 Linux 实例上配置开机自启脚本是一个常见的需求。这种自启动脚本具有重要的实践意义,主要体现在以下几个方面: 必要性 服务自动启动 当 EC2 实例启动时,可以自动启动一些关键服务,如 Web 服务、数据库服务等,而不需要手动去启动。这有助于提高服务的可用性和可靠…

GeoScene产品学习视频收集

1、易智瑞运营的极思课堂https://www.geosceneonline.cn/learn/library 2、历年易智瑞技术公开课视频资料 链接&#xff1a;技术公开课-易智瑞信息技术有限公司&#xff0c;GIS/地理信息系统&#xff0c;空间分析-制图-位置智能-地图 3、一些关于GeoScene系列产品和技术操作的视…

Unity2024面试总结(适用3-5年经验以上)

文章目录 前言一、基础芝士1、说下你对面向对象的理解2、说下协程和线程的区别3、说下内存优化这块内容4、说下GPU优化这块内容5、说下对DrawCall的理解6、向量的点乘、叉乘7、数据结构、算法 二、进阶芝士1、框架与核心模块2、说下你在项目中使用过的设计模式3、架构思想4、如…

二进制部署k8s集群 部署高可用master节点

目录 本次部署的环境 一、master02 节点部署 二、负载均衡部署 安装nginx服务 部署keepalive服务 修改node节点上的配置文件 在master节点上创建pod 三、部署 Dashboard 二进制部署k8s集群部署的步骤总结 &#xff08;1&#xff09;k8s的数据存储中中心的搭建 etcd &…

Apache Log4j Server 反序列化命令执行漏洞(CVE-2017-5645)

漏洞复现环境搭建请参考 http://t.csdnimg.cn/MxmId 漏洞版本 Apache Log4j 2.8.2之前的2.x版本 漏洞验证 &#xff08;1&#xff09;开放端口4712 漏洞利用 &#xff08;1&#xff09;ysoserial工具获取 wget https://github.com/frohoff/ysoserial/releases/download/v0…

Flink DataStream API 基础算子(一)

一、介绍 官网 DataStream API 得名于特殊的 DataStream 类&#xff0c;该类用于表示 Flink 程序中的数据集合。你可以认为 它们是可以包含重复项的不可变数据集合。这些数据可以是有界&#xff08;有限&#xff09;的&#xff0c;也可以是无界&#xff08;无限&#xff09;的…

spring启动后自动退出了

在项目中启动spring框架的application&#xff0c;但是还未等到接口访问它就自己退出了&#xff0c;运行截图如下所示&#xff1a; 解决办法&#xff1a; 将build.gradle文件里的依赖修改一下。我原先的依赖是&#xff1a; org.springframework:spring-web:5.3.10 现修改为 …

2024 电工杯高校数学建模竞赛(B题)| 平衡膳食食谱 |建模秘籍文章代码思路大全

铛铛&#xff01;小秘籍来咯&#xff01; 小秘籍团队独辟蹊径&#xff0c;运用负载均衡&#xff0c;多目标规划等强大工具&#xff0c;构建了这一题的详细解答哦&#xff01; 为大家量身打造创新解决方案。小秘籍团队&#xff0c;始终引领着建模问题求解的风潮。 抓紧小秘籍&am…

2024-05-20 问AI:介绍一下大语言模型的in-context learning

文心一言 大语言模型的in-context learning&#xff08;ICL&#xff09;是指模型在不进行参数更新的情况下&#xff0c;仅通过少量示例或指令&#xff0c;快速适应新的任务和领域的能力。 传统的机器学习方法通常需要大量的标注数据来训练模型&#xff0c;而ICL的出现为我们提…

肯尼亚大坝决堤反思:强化大坝安全监测的必要性

一、背景介绍 近日&#xff0c;肯尼亚发生了一起严重的大坝决堤事件。当地时间4月29日&#xff0c;肯尼亚内罗毕以北的一座大坝决堤&#xff0c;冲毁房屋和车辆。当地官员称&#xff0c;事故遇难人数已升至71人。这起事件再次提醒我们&#xff0c;大坝安全无小事&#xff0c;监…