HTT:如何从技术上“绞杀”盗链者？_HTT价格

作者|阿文

责编|郭芮

很多站长都会遇到一个很头疼的问题，那就是自己网站的资源经常被盗用，有文字、图片、视频、和二进制或压缩文件，这些资源被盗用后除了导致网站流量丢失之外、还会带来一些经济上的损失。

除了相关法律，例如《中华人民共和国著作权法》可以使版权或著作权所有者通过法律途径来约束和限制一些未经授权非法使用网站多媒体资源，我们还可以通过一些技术手段来约束访问者，使其无法随意盗取相关资源，下面我们就介绍下网站常用的防盗措施和其优势和劣势。

User-agent防盗

美国议员要求孙宇晨解释如何防止极端内容在DLive平台上播出:2月10日消息，Reps. Raja Krishnamoorthi和Jackie Speier两位美国议员写信要求波场创始人孙宇晨和DLive首席执行官Charles Wayn解释，继上月华盛顿特区企图叛乱后，他们计划如何防止极端内容在BitTorrent旗下流媒体平台DLive上播出。这封信与上个月国会的叛乱有关。几名极右极端分子在美国国会大厦被攻破时通过DLive进行直播，其中一些人后来被捕。（CoinDesk）[2021/2/10 19:23:04]

User-Agent首部包含了一个特征字符串，用来让网络协议的对端来识别发起请求的用户代理软件的应用类型、操作系统、软件开发商以及版本号。不同的浏览器客户端都会携带自己的user-agent，例如Chrome浏览器的user-agent是：

DFI.Money（YFII）发起关于如何分配Balancer奖励提案:9月3日，聚合器项目DFI.Money（YFII）收到首批Balancer（BAL）奖励，共计BAL 679.83个，价值21,814美元。该奖励来源于YFII/DAI矿池，后续每周都将收到。关于奖励如何分配，社区发起提案进行投票：放进循环挖矿池；换成yCRV给投票人激励参与投票；注入社区基金。[2020/9/8]

user-agent:Mozilla/5

但是这种办法并不能完全禁止掉一些请求，因为user-agent是客户定义的，以curl为例，如下所示。通过-H指定user-agent的请求头信息，如果对方恰好指定你的黑名单规则，则可以很轻松的绕过限制。

听证会 | 扎克伯格：还未确定如何处理错误交易的最终政策:金色财经直播报道，在今日听证会上，议员Bil Foster询问了有关如何处理错误交易。扎克伯格说，他不确定是否已经为此制定了政策。已对此有所考虑，但还没有确定”最终政策。[2019/10/24]

curl-H"User-Agent:xxxx"

referer防盗链

Referer首部包含了当前请求页面的来源页面的地址，即表示当前页面是通过此来源页面里的链接进入的。如下所示的requestheaders中，其referer为https://www

但是这种办法也并不能完全禁止掉一些域名请求，因为referer客户也是可以自定义的。以curl为例，如下所示，通过-H指定referer:XXXXX的请求头信息，就可以很轻松的绕过限制。

curl-H"referer:http://www.baidu.com"

IP防盗链

顾名思义，即对指定IP或IP段进行限制访问。例如一些爬虫经常频繁爬取网站资源，我们可以对其IP进行限制。

以nginx为例，nginx的ngxhttpaccess_module模块可以用来设置允许/禁止哪些IP或IP段访问：

allow1.1.1.1/24#允许IP段访问

denyall#禁止所有IP访问

token防盗链

上述的三种原生HTTP首部字段都能防止用户随意盗取资源，但是其劣势相当明显，比如都极容易被伪造。

以nginx为例安装secure_link模块，默认是没有安装的，要使用这个模块必须在编译时指定下列编译参数：

--with-http_secure_link_module

securelink防盗链原理：

用户访问资源；

服务器根据secret密钥、过期时间、文件uri生成加密串；

将加密串与过期时间作为参数跟到文件下载地址的后面；

nginx下载服务器接收到了过期时间，也使用过期时间、配置里密钥、文件uri生成加密串；

将用户传进来的加密串与自己生成的加密串进行对比，一致允许下载，不一致403。

具体的配置和使用可以参考https://nginx.org/en/docs/http/ngxhttpsecurelinkmodule.html。

当然除了这种方式，你也可以使用nginxlua来自行实现一些自定义的防盗链措施。

标签：HTTGENTCURAGENHTT价格ArgentYCURVE币AGENTSHIBAINU价格

瑞波币热门资讯