【网络安全】前端程序员务必掌握的图片防盗链

原理

在 http 协议请求中 header 里会带个 Referer 字段。通过图片服务器检查 Referer 是否来自规定的域名（白名单），而进行防盗链。 在浏览器中输入防盗链图片地址是能直接访问的。

简单实现防盗链图片

可以通过 nginx 配置白名单列表，不在白名单则返回 403 或者相应的处理（重定向到显示403的图片，等操作）

location ~* \.(gif|jpg|jpeg|png|bmp|swf|flv)$ { 
 valid_referers none blocked *.andyhu.com server_names ~\.google\. ~\.baidu\.; 
 if ($invalid_referer) { 
 return 403; 
 #rewrite ^/ http://www.xxx.com/403.jpg; 
 }
}

以上所有来自 *.andyhu.com 域名和域名中包含 google 和 baidu 的站点都可以访问当前站点的gif|jpg|jpeg|png|bmp|swf|flv文件资源。其他来源域（不在白名单列表）名访问则返回 403。如果被注释的 rewrite 则返回一张 403.jpg 的图片

显示第三方防盗链图片

顺这浏览器能直接访问防盗链图片的思路，不难发现，只要请求头 header 里面不携带 Referer 就能正常访问到防盗链的资源。

1.全局下 请求都不带 referer <meta name="referrer" content="no-referrer" />

MDN相关文档（更详细）


小插曲（没有微信H5支付的需求可以无视次插曲）

有次我项目中为了访问第三方防盗链图片，加了这行代码。然后项目中用到了微信 H5 支付，而微信 H5 支付是需要通过从 referer 中获取当前调起H5支付的域名与申请H5支付时提交的授权域名判断域名是否一致的。所以导致我项目中微信支付一直提示 “商家存在未配置的参数”


微信H5支付报错：“商家存在未配置的参数，请联系商家解决”

微信支付开发指引

2.给某个资源添加 ReferrerPolicy 属性

例如：给图片资源添加 ReferrerPolicy 属性

<img src="xxxx.jpg" referrerPolicy="no-referrer" />

MDN相关文档（更详细）

3.使用第三方代理

例如：通过第三方代理访问地址为https://p9-passport.byteacctimg.com/img/user-avatar/f9166aceb85b42133f48537808cef8eb~300x300.image 的图片

<img src="https://images.weserv.nl/?url=https://p9-passport.byteacctimg.com/img/user-avatar/f9166aceb85b42133f48537808cef8eb~300x300.image"/>

缺点： 不稳点，第三方代理可能在国内访问不稳定，在国内没有好的推荐,小伙伴如果有好的国内的第三方代理推荐，可以在评论区 留意哈！感谢感谢！当然也可以自己做一个代理哈。

4.利用iframe伪造请求referer

function showImg( url ) {
 var frameid = 'frameimg' + Math.random();
 window.img = '<img id="img" src=\''+url+'?'+Math.random()+'\' />
 <script>window.onload = function() { parent.document.getElementById
 (\''+frameid+'\').height = document.getElementById(\'img\').height
 +\'px\'; }<'+'/script>';
 document.write('<iframe id="'+frameid+'" src="javascript:parent.img;
 " frameBorder="0" scrolling="no" width="100%"></iframe>');
}

参考地址

反破解

有破解必然就有反破解的方法，小伙伴有啥反破解思路或者方法可以在评论区留意讨论哈！

写在最后

我是AndyHu，目前暂时是一枚前端搬砖工程师。

文中如有错误，欢迎在评论区指正，如果这篇文章帮到了你，欢迎点赞和关注呀！

speak less，do more.