破解某些网站图片的防盗链 - CNode

今天做个项目学到了一点，防盗链机制如果允许无 Referer 访问的话，是很容易绕过的。

先说说防盗链的原理，http 协议中，如果从一个网页跳到另一个网页，http 头字段里面会带个 Referer。图片服务器通过检测 Referer 是否来自规定域名，来进行防盗链。

如果盗用网站是 https 的 protocol，而图片链接是 http 的话，则从 https 向 http 发起的请求会因为安全性的规定，而不带 referer，从而实现防盗链的绕过。

比如现在在 cnode 这里，由于我们启用了 https，所以任何 http 的图片几乎都可以直接贴过来并显示了。

Ralph-Wang 1楼•3个月前

试试微博的相册 =,=

DevinXian 2楼•3个月前

soga

alsotang 3楼•3个月前

@Ralph-Wang 微博不防盗链的

zhs077 4楼•3个月前

论坛的 https速度感觉慢啊

jinphen 5楼•3个月前

不对呀，图片服务器检查到Referer不是规定的值，那么图片服务器会返回错误或给出提示，如果现在从Https加载做了防盗的http图片，由于没有Referer，图片是加载不了的吧。

alsotang 6楼•3个月前

@jinphen 如果没有 referer，服务器会认为是浏览器直接打开了文件，所以是可以显示的。

Ralph-Wang 7楼•3个月前

@alsotang 呃 =,=

alsotang 8楼•3个月前

1

贴个 QQ 空间的图过来试试：

alsotang 9楼•3个月前

5

网易空间的：

tofrookie 10楼•3个月前

奈斯，学习了

coolicer 11楼•3个月前

1

默默点了举报…

hades 12楼•3个月前

我是来看图的。

struCoder 13楼•3个月前

这只是一些公司对协议机制上不完善，谈不上破解

keenwon 14楼•3个月前

百度的一直是参数错误！

Gtskk 15楼•3个月前

test 测试百度图片

Gtskk 16楼•3个月前

360图片测试 测试360图片

Gtskk 17楼•3个月前

测试搜搜图片

shanelau 18楼•3个月前

@alsotang 这福利不错

514366607 19楼•3个月前

我去！测试下先。

coordcn 20楼•3个月前

防盗链机制如果允许无 Referer 访问的话

最关键是这句话

alsotang 21楼•3个月前

@coordcn bingo！

MiguelValentine 22楼•3个月前

请用curl命令。。防盗链无解。

alsotang 23楼•11天前

我在网站头加了 <meta name="referrer" content="always"> 所以出去的链接都会带 referrer 了，无论 https 或者 http

flybears 24楼•11天前

想请教下，能不能控制出去的referrer的值…

alsotang 25楼•10天前

@flybears 不能，这个地方浏览器卡得很紧

gloomyzerg 26楼•10天前

@alsotang 浏览器卡的紧但程序代理你怕不怕所有引用的外部图片 xxx.com/xxx.png 全部给你弄成 cnodejs.org/daolian?imgurl=xxx.com/xxx.png 程序里面用curl获取再输出外面在弄个varnish给你一缓存

alsotang 27楼•10天前

@gloomyzerg 这已经是防爬虫的场景了吧？

回到顶部