时间:2012-07-27 08:53:18 作者:不思议游戏 浏览量:435
在我们的周围,总会发现有些人喜欢不劳而获,等别人把事情做好后,不经别人同意,就盗用该资源。不久前笔者和某网站工作人员聊天,就提到关于盗链问题,他所管理的几个网站,经常被人盗链,导致营收降低,严重影响网站运营。
所谓盗链是指服务提供商自己不提供相关的服务内容,而是通过技术手段绕过真正的服务提供方的最终用户界面,直接在自己的网站上向最终用户提供其他服务提供方的服务内容,骗取最终用户的浏览和点击率。
盗链的产生的原因与网络协议有关。一般来讲,访问一个完整的网站页面需要通过多次HTTP请求完成。以访问一个带图片的网站页面为例,最初的访问请求建立之后,服务器会发送这个页面的文本到客户端,客户端浏览器对该文本进行解释执行,执行过程发现访问的页面带有图片,此时客户端浏览器会再次发送HTTP请求,当服务器接受此请求之后,会发送客户端所请求的图片内容到客户端,之后客户端浏览器再对图片信息解释执行。基于这样的机制就产生了一个问题,那就是盗链:继续以上述解释为例,如果服务器中没有任何图片信息,我们可以提供该图片的链接地址,直接通过别的网站来提供用户所需要的资源。
常见的盗链一般是两类,一是图片资源盗链,一是文件资源盗链,如何有效防范盗链这是让很多网站管理员十分头痛的事情。笔者近期从IDC朋友那里了解到一款服务器软件防火墙叫做网站安全狗,经测试,该防火墙可以有效拦截盗链,在此介绍给大家。
网站安全狗防盗链功能具体防护方式有引用方式和会话方式两种防护方式,两种方式均支持跨服务器,用户可根据自己网站的需要自行选择使用哪种方式。该功能可以针对不同站点设置防盗链的过滤, 防止图片、桌面、软件、音乐、电影被人盗链。
1、引用方式: 如果用户要对图片、下载资源等类型的防护,可选择引用方式。选择引用方式的用户,在使用的过程中,可通过判断referer变量的值来判断图片或资源的引用是否合法,只有在设定范围内的referer,才能访问指定资源,从而实现防盗链的目的;可自行设置信任域名添加为白名单,信任域名将不在防护之内;可自行添加保护资源类型,需要提醒的是,在填写类型的时候只需填入纯粹的扩展名,如rar;同时,对于多站点的网站服务器用户,可自由设置不受防护的网站,避免一些需要对外开通资源链接的网站无法正常运营。
2、会话方式:如果用户要对流媒体类型的防盗链,比如MP3,WMA等在线播放资源的防护,可选择会话方式。该方式先从客户端获取用户信息,然后根据这个信息和用户请求的文件名字一起加密成字符串(Session ID)作为身份验证。只有当认证成功以后,服务端才会把用户需要的文件传送给客户。这种方式对于分布式盗链非常有效。同时,会话方式针对浏览器访问用户资源时设置了两种基本的浏览器行为,基于内存和基于文件,用户可根据自己的需要选择对资源进行防护的方式。
使用过程中根据实际需要,选择合适的防盗链方式,之后保存设置,并开启网站安全狗的防盗链功能,该防火墙便可以实时防护受保护的网站资源不被盗链。
笔者在此处选择的是使用会话方式防护,开启之后测试盗链,返回网站安全狗防盗链告警提示页面。