使用php怎么偽造Referer請求-創(chuàng)新互聯(lián)

本篇文章為大家展示了使用php怎么偽造Referer請求,內(nèi)容簡明扼要并且容易理解,絕對能使你眼前一亮,通過這篇文章的詳細介紹希望你能有所收獲。

創(chuàng)新互聯(lián)公司專注于中大型企業(yè)的網(wǎng)站建設、成都網(wǎng)站建設和網(wǎng)站改版、網(wǎng)站營銷服務,追求商業(yè)策劃與數(shù)據(jù)分析、創(chuàng)意藝術(shù)與技術(shù)開發(fā)的融合,累計客戶上千多家,服務滿意度達97%。幫助廣大客戶順利對接上互聯(lián)網(wǎng)浪潮,準確優(yōu)選出符合自己需要的互聯(lián)網(wǎng)運用,我們將一直專注高端網(wǎng)站設計和互聯(lián)網(wǎng)程序開發(fā),在前進的路上,與客戶一起成長!

盜鏈


引用百度百科對盜鏈的定義:

盜鏈是指服務提供商自己不提供服務的內(nèi)容,通過技術(shù)手段繞過其它有利益的最終用戶界面(如廣告),直接在自己的網(wǎng)站上向最終用戶提供其它服務提供商的服務內(nèi)容,騙取最終用戶的瀏覽和點擊率。受益者不提供資源或提供很少的資源,而真正的服務提供商卻得不到任何的收益。

常規(guī)盜鏈

我們知道,網(wǎng)站提供服務是向服務端請求一個html 文件,這個文件中包含有css/js 文件,也包含img/video 標簽,這些靜態(tài)資源會在html 文件加載時,依次的發(fā)起請求并填充在指定位置上,從而完成整個頁面的加載。

使用php怎么偽造Referer請求

因此只要拿到這個圖片的URL 并嵌入我們自己的html 文件中,就能在我們的網(wǎng)站上訪問,由于資源是不同的HTTP 請求獨立訪問的,因此我們也能過濾源站的html 文件。這就是最簡單的盜鏈。

危害:在用戶訪問時,并沒有在訪問被盜鏈網(wǎng)站,但是依然會占用該網(wǎng)站的帶寬資源,而帶寬是要給運營商付費的。同時,該網(wǎng)站的廣告、周邊、宣傳等資源并不會被用戶訪問到。

分布式盜鏈

分布式盜鏈比較復雜,需要在服務端部署專門的程序,并不針對單個網(wǎng)站或單個url ,而是對全網(wǎng)的所有有用的資源進行盜取,并存儲在自己的數(shù)據(jù)庫中,并在用戶實際訪問時,完全轉(zhuǎn)換為自己的流量。

危害:自己通過勞動、金錢、版權(quán)付費得到的資源,被盜鏈網(wǎng)站免費使用,如網(wǎng)店攝影圖、期刊、電視劇等。并因此導致自己的會員、服務無法實現(xiàn)盈利。

反盜鏈分類

我們了解了盜鏈對源站的危害后,自然要通過一些手段來阻止這種行為維護自己的利益。

加水印

這是最簡單的方法,通過后端程序批量對圖片等資源加上水印,這樣在盜鏈的同時,也在為自己的網(wǎng)站做宣傳,有時甚至會主動尋求這種盜鏈。

資源重命名

因為盜鏈是通過指定的url,這個url 中一定包含該資源的路徑和名稱,因此通過不定期的更改文件或目錄的名稱,能夠快速避免盜鏈,但也會導致正在下載的資源被中斷。

限制引用頁

http 請求的頭部信息中,有一個字段:referer ,它代表這個請求是從哪個頁面發(fā)起的,如果是單獨在頁面中打開或者服務端請求的,則這個字段為空。因此我們可以通過referer 這個字段的值做限制,如果是自己認可的頁面,則返回資源,否則,禁止該請求。但是由于每次都要打開一個白名單的文件做url 匹配,因此會降低性能。

加密認證

在客戶端通過將用戶認證的信息和資源的名稱進行組合后加密,將加密的字符串作為url 的參數(shù)發(fā)起請求,在服務端進行解密并認證通過后,才會返回請求的資源。這個方式主要用于防范分布式盜鏈。

反盜鏈程序

上面的3種反盜鏈方式,我們常用的是第三種,通過referer 屬性來完成反盜鏈,今天也主要分享這一種方法的反盜鏈與防反盜鏈。

后端程序限制

這種限制需要消耗服務端計算資源,因此不如Nginx 限制常用。

$from = parse_url($_SERVER['HTTP_REFERER']);
if ($from['host']!='xxx.com' && $from['host']!='www.xxx.com') {
  die('你丫在盜鏈');
}

Nginx 限制

通過修改nginx 配置文件可以做到,修改完成后記得重啟nginx

// 這里指定需要防盜鏈的資源,如gif/jpg等
location ~* \.(gif|jpg|png|jpeg)$ {
  // 設置資源的過期時間
  expires 30d;
  // 設置合法的引用頁,也就是防盜鏈的白名單;
  // none blocked保證用戶在新頁面打開時依然能夠打開,如果不希望用戶能夠保存刪掉這兩項
  valid_referers none blocked *.hugao8.com *.baidu.com *.google.com;
  // 對于非法的引用頁,可以重寫圖片,也可以直接返回403或404頁面
  if ($invalid_referer) {
    rewrite ^/http://www.it300.com/static/images/404.jpg;
    #return 404;
  }
}

Referer-Policy

Referer 首部包含了當前請求頁面的來源頁面的地址,即表示當前頁面是通過此來源頁面里的鏈接進入的。服務端一般使用Referer 首部識別訪問來源,可能會以此進行統(tǒng)計分析、日志記錄以及緩存優(yōu)化等。

Referer 屬性出現(xiàn)在請求頭中,也在請求頭中被設置,但是在瀏覽器的安全策略里,該值無法被js 所指定:

$.ajax({
    url: 'http://www.baidu.com',
    beforeSend(xhr) {
      // 在發(fā)送ajax請求前設置header頭部
      xhr.setRequestHeader("Referer", "http://translate.google.com/");
      xhr.setRequestHeader("User-Agent", "stagefright/1.2 (Linux;Android 5.0)");
    },
    success(data) {
      console.log(data);
    },
    error(err) {
      console.log(err);
    }
});

然而瀏覽器會報錯:

使用php怎么偽造Referer請求

那么Referer 是怎么被自動設置的呢?這個得看 Referer-Policy屬性 是怎么定義的:

  • no-referrer : 整個 Referer 首部會被移除。訪問來源信息不隨著請求一起發(fā)送。

  • no-referrer-when-downgrade (默認值): 在沒有指定任何策略的情況下用戶代理的默認行為。在同等安全級別的情況下,引用頁面的地址會被發(fā)送(HTTPS->HTTPS),但是在降級的情況下不會被發(fā)送 (HTTPS->HTTP)。

  • origin : 在任何情況下,僅發(fā)送文件的源作為引用地址。例如 https://example.com/page.html 會將 https://example.com/ 作為引用地址。

  • origin-when-cross-origin : 對于同源的請求,會發(fā)送完整的URL作為引用地址,但是對于非同源請求僅發(fā)送文件的源。

  • same-origin : 對于同源的請求會發(fā)送引用地址,但是對于非同源請求則不發(fā)送引用地址信息。

  • strict-origin : 在同等安全級別的情況下,發(fā)送文件的源作為引用地址(HTTPS->HTTPS),但是在降級的情況下不會發(fā)送 (HTTPS->HTTP)。

  • strict-origin-when-cross-origin : 對于同源的請求,會發(fā)送完整的URL作為引用地址;在同等安全級別的情況下,發(fā)送文件的源作為引用地址(HTTPS->HTTPS);在降級的情況下不發(fā)送此首部 (HTTPS->HTTP)。

  • unsafe-url : 無論是同源請求還是非同源請求,都發(fā)送完整的 URL(移除參數(shù)信息之后)作為引用地址。

這個值可以通過三種方式來設置:

<meta name="referrer" content="origin">
<a href="http://example.com" rel="external nofollow" rel="external nofollow" referrerpolicy="origin">
<a href="http://example.com" rel="external nofollow" rel="external nofollow" rel="noreferrer">

防反盜鏈

前端JS 不能在頭部設置Referer 字段,和跨域一樣是因為瀏覽器的安全策略,那么同樣的在服務端進行請求就不會有這些限制,我們在服務端請求時就可以自由的修改Referer 字段。

我們通過簡單的PHP 例子來完成這個功能:

<?php
$url = 'http://t11.baidu.com/it/u=3008889497,862090385&fm=77';
$refer = 'https://www.baidu.com';
$ch = curl_init();
//以url的形式 進行請求
curl_setopt($ch, CURLOPT_URL, $url);
//以文件流的形式 進行返回 不直接輸出到瀏覽器
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
//瀏覽器發(fā)起請求 超時設置
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 30);
//偽造來源地址 
curl_setopt ($ch, CURLOPT_REFERER, $refer);
$file = curl_exec($ch);
curl_close($ch);
header('Content-Type: text/html');
// 對圖片進行base64編碼,然后返回給前端展示
$file = base64_encode($file);
echo "<img src='data:image/jpeg;base64,{$file}' />";
?>

我們第一次請求注釋了偽造來源地址 這一行,第二次請求不注釋這一行,這樣可以驗證執(zhí)行結(jié)果:

使用php怎么偽造Referer請求

使用php怎么偽造Referer請求

上述內(nèi)容就是使用php怎么偽造Referer請求,你們學到知識或技能了嗎?如果還想學到更多技能或者豐富自己的知識儲備,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

網(wǎng)頁題目:使用php怎么偽造Referer請求-創(chuàng)新互聯(lián)
分享網(wǎng)址:http://bm7419.com/article20/ihjco.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站制作靜態(tài)網(wǎng)站、小程序開發(fā)、網(wǎng)站策劃網(wǎng)站設計、動態(tài)網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

商城網(wǎng)站建設