要防止盗链,可以通过验证请求头中的 referer 字段来实现;1. 在 java 中可通过 servlet 或 filter 实现防盗链逻辑,在 servlet 中获取 referer 并判断是否符合预期来源,若不符合则返回 403 错误;2. 使用 filter 可在请求进入业务逻辑前统一拦截处理,适用于更通用的防盗链场景,并支持从配置文件中读取允许的 referer;3. 更严格的验证方式包括使用白名单和完整匹配 referer 值以提高安全性;4. 对于 referer 为空的情况,可根据业务策略选择允许访问、拒绝访问或提供降级方案如身份验证;5. 结合 spring security 可创建自定义 refererfilter 并集成到安全配置中,实现灵活且可配置的安全策略。
直接设置 Referer 来防止盗链,本质上就是在服务器端验证请求头中的 Referer 字段。如果 Referer 不符合你的预期,就拒绝服务。Java 中实现这个并不复杂,但需要根据你的具体应用场景来细化。
解决方案
核心思路是在你的 Servlet 或 Filter 中拦截请求,然后检查 request.getHeader("Referer") 的值。
立即学习“Java免费学习笔记(深入)”;
1. 使用 Servlet 实现
创建一个 Servlet,并在 doGet 或 doPost 方法中进行 Referer 检查。
import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
@WebServlet("/protectedResource")
public class ProtectedResourceServlet extends HttpServlet {
private static final long serialVersionUID = 1L;
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String referer = request.getHeader("Referer");
// 允许的来源
String allowedReferer = "http://www.example.com";
if (referer != null && referer.startsWith(allowedReferer)) {
// 允许访问,返回资源
response.getWriter().println("<h1>Welcome! This is your protected resource.</h1>");
} else {
// 拒绝访问
response.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Invalid Referer.");
}
}
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
doGet(request, response);
}
}这段代码首先获取 Referer,然后检查它是否以 http://www.example.com 开头。如果是,就返回资源;否则,返回 403 错误。
2. 使用 Filter 实现
Filter 可以在 Servlet 之前拦截请求,实现更通用的防盗链逻辑。
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
@WebFilter("/*") // 拦截所有请求
public class RefererFilter implements Filter {
private String allowedReferer;
public void init(FilterConfig fConfig) throws ServletException {
allowedReferer = "http://www.example.com"; // 从配置文件读取
}
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
HttpServletRequest httpRequest = (HttpServletRequest) request;
HttpServletResponse httpResponse = (HttpServletResponse) response;
String referer = httpRequest.getHeader("Referer");
if (referer != null && referer.startsWith(allowedReferer)) {
chain.doFilter(request, response); // 继续处理请求
} else {
httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Invalid Referer.");
}
}
public void destroy() {
// cleanup
}
}Filter 的好处是可以配置拦截的 URL 模式,例如拦截所有请求("/*")或特定的目录。allowedReferer 可以从 web.xml 或其他配置文件中读取,更灵活。
3. 更严格的 Referer 验证
仅仅检查 Referer 是否以某个字符串开头可能不够安全,因为攻击者可以伪造 Referer。可以考虑:
4. 处理 Referer 为空的情况
有些浏览器或用户可能会禁用 Referer 发送。你需要决定如何处理这种情况。是允许访问,还是拒绝?
if (referer == null || referer.isEmpty()) {
// Referer 为空时的处理逻辑
// 可以选择允许访问,或者拒绝访问
// 例如:
// chain.doFilter(request, response); // 允许
// 或者
// httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Referer is missing."); // 拒绝
}注意事项:
如何处理 Referer 为空的情况,以及没有 Referer 的请求?
处理 Referer 为空的情况需要根据你的业务逻辑和安全策略来决定。没有 Referer 的请求可能是用户直接在浏览器地址栏输入 URL,也可能是通过某些工具或设置禁用了 Referer 发送。
策略选择:
实现方式:
在你的 Servlet 或 Filter 中,添加对 Referer 为空的判断。
String referer = request.getHeader("Referer");
if (referer == null || referer.isEmpty()) {
// Referer 为空
// 策略 1:允许访问
// chain.doFilter(request, response);
// 策略 2:拒绝访问
// httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Referer is missing.");
// 策略 3:提供降级方案
// response.sendRedirect("/login"); // 跳转到登录页面
// 或者
// response.getWriter().println("Please enable Referer in your browser settings.");
} else {
// Referer 不为空,进行正常的防盗链检查
if (referer.startsWith(allowedReferer)) {
chain.doFilter(request, response);
} else {
httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Invalid Referer.");
}
}示例:允许 Referer 为空的请求访问
String referer = request.getHeader("Referer");
if (referer == null || referer.isEmpty()) {
// 允许 Referer 为空的请求访问
chain.doFilter(request, response);
} else {
// Referer 不为空,进行正常的防盗链检查
if (referer.startsWith(allowedReferer)) {
chain.doFilter(request, response);
} else {
httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Invalid Referer.");
}
}示例:拒绝 Referer 为空的请求访问
String referer = request.getHeader("Referer");
if (referer == null || referer.isEmpty()) {
// 拒绝 Referer 为空的请求访问
httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Referer is missing.");
} else {
// Referer 不为空,进行正常的防盗链检查
if (referer.startsWith(allowedReferer)) {
chain.doFilter(request, response);
} else {
httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Invalid Referer.");
}
}最佳实践:
如何结合 Spring Security 使用 Referer 防盗链?
Spring Security 提供了强大的安全控制功能,可以与 Referer 防盗链结合使用,实现更灵活和可配置的安全策略。
1. 创建自定义 Filter
首先,创建一个自定义的 Filter,用于检查 Referer。这个 Filter 需要继承 OncePerRequestFilter,确保每个请求只被执行一次。
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.web.filter.OncePerRequestFilter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Arrays;
import java.util.HashSet;
import java.util.Set;
public class RefererFilter extends OncePerRequestFilter {
private final Set<String> allowedReferers = new HashSet<>();
private final AntPathRequestMatcher requestMatcher;
public RefererFilter(String[] allowedReferers, String path) {
this.allowedReferers.addAll(Arrays.asList(allowedReferers));
this.requestMatcher = new AntPathRequestMatcher(path);
}
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
if (!requestMatcher.matches(request)) {
filterChain.doFilter(request, response);
return;
}
String referer = request.getHeader("Referer");
if (referer != null && allowedReferers.stream().anyMatch(referer::startsWith)) {
filterChain.doFilter(request, response);
} else {
response.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Invalid Referer.");
}
}
}在这个 Filter 中,allowedReferers 是允许的 Referer 列表,requestMatcher 用于匹配需要进行 Referer 检查的 URL。
2. 配置 Spring Security
在 Spring Security 的配置类中,将自定义的 Filter 添加到 Filter Chain 中。
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public RefererFilter refererFilter() {
String[] allowedReferers = {"http://www.example.com", "https://www.example.com"};
return new RefererFilter(allowedReferers, "/protected/**"); // 对 /protected/** 下的资源进行 Referer 检查
}
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authz -> authz
.requestMatchers("/public/**").permitAll() // 允许访问 /public/** 下的资源
.anyRequest().authenticated() // 其他请求需要认证
)
.addFilterBefore(refererFilter(), UsernamePasswordAuthenticationFilter.class); // 在 UsernamePasswordAuthenticationFilter 之前添加 RefererFilter
return http.build();
}
}在这个配置中,refererFilter() 方法创建了一个 RefererFilter 实例,并设置了允许的 Referer 列表和需要进行 Referer 检查的 URL 模式。addFilterBefore() 方法将 RefererFilter 添加到 Filter Chain 中,确保它在 UsernamePasswordAuthenticationFilter 之前执行。
3. 配置允许的 Referer
可以将允许的 Referer 列表配置在 application.properties 或 application.yml 文件中,方便修改和管理。
allowed.referers=http://www.example.com,https://www.example.com
然后在 RefererFilter 中读取这些配置。
4. 处理异常情况
可以自定义一个 AuthenticationEntryPoint,用于处理 Referer 验证失败的情况,例如跳转到错误页面或返回特定的错误信息。
优点:
注意事项:
RefererFilter 在其他需要 Referer 信息的 Filter 之前执行。通过结合 Spring Security 使用 Referer 防盗链,可以实现更灵活、可配置和安全的安全策略。
以上就是如何使用Java设置Referer防盗链 Java根据来源设置访问权限示例的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
459
收藏
