利用referer防止盜鏈下載

1、首先了解下 referer 的原理

request.getHeader("referer")

在開發web程序的時候，有時咱們須要 獲得用戶是從什麼頁面連過來的，這就用到了referer。

它是http協議，因此任何能開發web程序的語言均可以實現,好比jsp中是：

request.getHeader("referer");

php是$_SERVER['HTTP_REFERER']。其餘的我就不舉例了（實際上是不會其餘的語言）。

那它能幹什麼用呢？我舉兩個例子：

1，防止盜連，好比我是個下載軟件的網站，在下載頁面我先用referer來判斷上一頁面是否是本身網站，若是不是，說明有人盜連了你的下載地址。

2，電子商務網站的安全，我在提交信用卡等重要信息的頁面用referer來判斷上一頁是否是本身的網站，若是不是，多是黑客用本身寫的一個表單，來提交，爲了能跳過你上一頁裏的javascript的驗證等目的。

使用referer的注意事項：

若是我是直接在瀏覽器裏輸入有referer的頁面，返回是null（jsp），也就是說referer只有從別的頁面點擊鏈接來到這頁的纔會有內容。

我作了個實驗，好比個人referer代碼在a.jsp中，它的上一頁面是b.htm，c.htm是一個帶有iframe的頁面，它把a.jsp嵌在iframe裏了。我在瀏覽器裏輸入b.htm的地址，而後點擊鏈接去c.htm，那顯示的結果是b.htm，

若是我在瀏覽器裏直接輸入的是c.htm那顯示的是c.htm

referer是瀏覽器在用戶提交請求當前頁面中的一個連接時,將當前頁面的URL放在頭域中提交給服務端的,如當前頁面爲a.html,它裏面有一個b.html的連接,當用戶要訪問b.html時瀏覽器就會把a.html做爲referer發給服務端.

2、那麼如何運用"referer" 來防止盜鏈下載呢
咱們考慮了用filter實現

public class DefendSteal implements Filter
{

	protected FilterConfig filterConfig;
	protected String[] allowsites;
	protected String[] files;
    public DefendSteal()
    {
   
    }

    public void destroy()
    {

    }

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException
    {
    	HttpServletRequest req = (HttpServletRequest)request;
    	HttpServletResponse res = (HttpServletResponse)response;
        String suff = req.getRequestURL().substring(req.getRequestURL().lastIndexOf(".")+1);
        System.out.println("referer:"+req.getHeader("referer"));
        for(int j=0;j<this.files.length;j++){//判斷是否有須要阻止的文件類型
        	if(suff.equalsIgnoreCase(this.files[j])){
                if(req.getHeader("referer")==null||"".equals(req.getHeader("referer"))){//這種狀況是直接訪問實體文件,可防止下載
                	res.sendRedirect(req.getContextPath()+"/NotExist.html");
                }else{
                	int i=0;
                	for(i=0;i<this.allowsites.length;i++){
                		if(req.getHeader("referer").indexOf(allowsites[i])>=0){
                    		break;
                    	}
                	}
                	if(i==this.allowsites.length){//不在容許站點列表裏,則阻止,這種狀況是盜鏈
                		res.sendRedirect(req.getContextPath()+"/NotExist.html");
                	}
                }
                break;
            }
        }
        chain.doFilter(request, response);
    }

    public void init(FilterConfig filterConfig)
        throws ServletException
    {
        this.filterConfig = filterConfig;
        String strSite = filterConfig.getInitParameter("allowsite");
        allowsites = strSite.split(";");
        String strfile = filterConfig.getInitParameter("file");
        files = strfile.split(";");
    }
}

對應的web.xml文件配置以下：

在web.xml中加下以下:

<filter>
    <filter-name>DefendSteal</filter-name>
    <filter-class>filters.DefendSteal</filter-class>
    <init-param>
      <param-name>allowsite</param-name>
      <param-value>172.19.33.48;172.19.33.91</param-value>
    </init-param>
    <init-param>
      <param-name>file</param-name>
      <param-value>flv;gif</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>DefendSteal</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

Allowsite爲否充訪問的站點 File 爲被監測的文件類型 附： 深刻理解HTTP協議 http://www.blogjava.net/zjusuyong/articles/304788.html