网站防止盗链与几种方法.docVIP

网站防止盗链的几种方法 作为普通的网民来说，一般不需要知道也不用关心什么是盗链，不过如果你是网站的开发者或维护者，就不得不重视盗链的问题了。如果你刚刚开发完一个没有防盗链的带有文件下载功能的网站，挂上internet，然后上传几个时下非常热门的软件或电影并在网站内公布下载地址，让MSN上的所有好友都来体验一下你的杰作。 不 用多久就会发现网速出奇地变慢，甚至服务器托管中心的服务员会热情地打电话告诉你的网站流量很大，估计是网站受欢迎起来了，问你是不是该考虑加钱租用带宽 更宽但价格更贵的网线了。在这个值得庆祝的时候赶快打开Google Analytics看看有多少人来光顾你的网站了吧，如果发现访客每天才十来个人，很遗憾地告诉你：你的网站资源不幸地被人盗链了。 而且更糟糕的是，当你把网站上的文件和电影通通删光之后，网站仍然没有变快多少，从web服务器的访问日志里会发现疯狂的访问请求正从四面八方涌过来，web服务器为了迎接这批访客而没有时间处理正常的页面，这种状况可能会一直持续好几个周时间。 网站资源被盗链简单来说就是别人不是从你的网站通过下载资源，被盗链的几种可能情况： 1、人气非常旺的网站、论坛、社区的网页里直接引用了（使用标记）你网站上的图片，或者直接在其他网页（使用flash或媒体播放插件）里嵌入了你网站上的mp3。 2、在人气非常旺的网站、论坛、社区里提供了你的资源的下载地址。 3、你网站的资源可能被一些下载软件列入了“资源候选名单”，当其他人用下载工具下载相同的文件时，下载软件会自动找上门并且从你的服务器下载。 既 然被盗链的后果这么可怕，那有哪些方法可以防止盗链呢下面从简到繁总结一下常见的以及自己实践过的一些方法，并简单分析一下。不过很遗憾地，这些方法都没 法完全杜绝被盗链，并且防盗链的目的应该是从一定的程度上减少被盗链所产生的影响，同时能让合法的用户能够以自然的方式、顺畅地从你的网站下载资源。 方法1：判断引用地址 这个方法是最早及最常见的方法。所谓判断引用地址，就是判断浏览器请求时HTTP头的Referer字段的值，这个值在里面可以用 Request.UrlReferrer属性取得。几个例子来说，在正常情况下当用户在浏览 /abc.html 时点击一个链接去到 /jacky.mp3 文件时，浏览器在发出请求jacky.mp3 资源时还会附带当刻浏览器所处的页面地址（即/abc.html），所以当你的网站程序接收到下载 jacky.mp3 资源请求的时候，先判断http的referer字段的值，如果是从 自己的域名（）过来的，则可以认为是合法的连接请求，否则就返回一个错误的提示信息。 这 种方法通常用于图片、 mp3这种容易被人用html“嵌入”到其他网站的资源，使用这种方法可以防止你的图片直接出现在别人的网页里（或者防止mp3直接被其他网站嵌入到 flash播放器里），不过访客使用下载工具还是可以轻松下载，因为现在的下载工具一般会自动用你的域名构造一个引用地址，所以如果想再进一步防范的话， 可以使用一个对应表限制每个资源的引用地址，例如将 jacky.mp3 的引用地址限制为 /abc.htmlid=12345，这样下载工具就不太可能构造一个“正确”的引用地址了。 方法2：使用登录验证 这 个方法常见于论坛、社区。当访客请求网站上的一个资源时，先判断此请求是否通过登录验证（在里常用session或form验证来记录登录 状态），如果尚未登录则返回一个错误提示信息。使用这个方法还可以进一步判断登录的用户的权限是否足够，以实现带“权限”的下载。 不过因为 登录状态依赖于会话id，而会话id往往储存于http请求的cookie字段里，下载工具一般没法获得浏览器的cookie字段，所以这些资源往往无法 使用下载工具来下载，给正常合法用户带来诸多不便（因为大部分网民的系统都安装了下载工具，一点击下载链接一般会被下载工具拦截，导致无法使用浏览器本身 的下载功能）。简单的解决方法是将这个session id放到URL中。这种方法的另外一个缺点是访客无法匿名下载，所以这个方法一般只用于论坛和社区网站。 方法3：使用cookie 其 实这种方法原理上跟方法2差不多。就是在显示“下载”链接的页面里产生一个动态值的cookie，然后在处理资源下载请求时先判断cookie里有没有正 确的cookie，如果没有则返回错误提示信息。至于这个动态值如何产生，只要能逆向判断动态值是否合法的都可以，例如将当前的时间去除秒数取哈希值（也 叫散列值）。如果网页程序是则更简单，可以往Session里随便存一个字符串或数字，然后在处理下载请求时先检查Session 里是否存在这个字符串或数字。使用这个方法的缺点跟方法2一样。 方法4：使用POST下载 客