HTTP_REFERER 可以伪造，怎样有效防止盗链呢

盗链

伪造

防止

有效

16 条回复 • 2018-10-09 14:01:18 +08:00

1

lhx2008

2018-10-08 23:26:55 +08:00 via Android

正常浏览器是不能伪造的，所以前端调用不用担心。
但是，非浏览器要抓你的资源，你怎么搞都没用。

2

msg7086

2018-10-08 23:56:00 +08:00

呃，盗链者如何用浏览器伪造 REFERER ？

3

580a388da131

2018-10-09 01:45:03 +08:00 via iPhone

参考百度网盘和用户的攻防战
结论就是没什么好方法做好检测预警吧

4

lihongming

2018-10-09 02:50:52 +08:00 via iPhone

随机限时文件名、限制下载速度、下载间隔、单 IP 连接数等。
总之一个原则——给用户增加麻烦，麻烦到没人愿用你的产品，就可以了。具体参考 upload 等国外各种文件分享服务。

5

yhvictor

2018-10-09 03:36:04 +08:00 via iPhone

@lhx2008 JavaScript 不能伪造么？之前准备给 discuz 通过 Mobile API 写个第三方客户端。验证码需要 refer。
懒癌一直没动，要是不行或者很麻烦我就不写了。

6

t6attack

2018-10-09 04:44:37 +08:00

如果是网站防其他网站盗链（客户端仅限浏览器），通过 REFERER 就足够了。对方可以通过服务端盗链，但这意味着消耗双倍带宽资源。而且对方的服务端 IP 你可以随时封掉。。还有一个方式，是发出文章，教每个网站访客修改 HTTP 请求头，这是不小的折腾成本。
如果是防客户端盗链？（ APP、桌面软件，拥有软件级别的权限），这种无解。理论上，资源能浏览，就能盗链。看谁肯花更多时间折腾了。

7

t6attack

2018-10-09 04:58:45 +08:00

网页中的 JS 是运行在 HTTP 通道之内的，它没有权限触碰和修改 HTTP 请求头内容。
想要伪造 REFERER 之类的头信息，通过 JS 是不行的，一定需要浏览器之外的“软件级别”权限（浏览器扩展、独立 APP、服务端....这些）。你自己可以通过这些伪造 REFERER 抓取信息，但无法做到让你的网站访客也看到这些。除非你挨个“教”他们安装扩展、修改请求头。
所以防其他网站盗链，通过 REFERER 足够了。同理，软件级别的盗链，你防不了。

8

webdisk

2018-10-09 05:26:56 +08:00

@t6attack #17 准确的说是部分 HTTP 请求头无法修改。

禁止修改的消息首部包括以 Proxy- 和 Sec- 开头的消息首部，以及下面列出的消息首部：

Accept-Charset
Accept-Encoding
Access-Control-Request-Headers
Access-Control-Request-Method
Connection
Content-Length
Cookie
Cookie2
Date
DNT
Expect
Host
Keep-Alive
Origin
Proxy-
Sec-
Referer
TE
Trailer
Transfer-Encoding
Upgrade
Via

https://developer.mozilla.org/zh-CN/docs/Glossary/%E7%A6%81%E6%AD%A2%E4%BF%AE%E6%94%B9%E7%9A%84%E6%B6%88%E6%81%AF%E9%A6%96%E9%83%A8