網站如何防盜鏈的8種方法

若是你是網站的開發者或維護者，就不得不重視盜鏈的問題了。若是你剛剛開發完一個沒有防盜鏈的帶有文件下載功能的網站，掛上internet，而後上傳幾個時下很是熱門的軟件或電影並在網站內公佈下載地址，讓MSN上的全部好友都來體驗一下你的傑做。不用多久就會發現網速出奇地變慢，甚至服務器託管中心的服務員會熱情地打電話告訴你的網站流量很大，估計是網站受歡迎起來了，問你是否是該考慮加錢租用帶寬更寬但價格更貴的網線了。在這個值得慶祝的時候趕快打開Google Analytics看看有多少人來光顧你的網站了吧，若是發現訪客天天才十來我的，很遺憾地告訴你：你的網站資源不幸地被人盜鏈了。並且更糟糕的是，當你把網站上的文件和電影統統刪光以後，網站仍然沒有變快多少，從web服務器的訪問日誌裏會發現瘋狂的訪問請求正從四面八方涌過來，web服務器爲了迎接這批訪客而沒有時間處理正常的頁面，這種情況可能會一直持續好幾個周時間。 

網站資源被盜鏈簡單來講就是別人不是從你的網站經過下載資源，被盜鏈的幾種可能狀況：
一、在人氣很是旺的網站、論壇、社區的網頁裏直接引用了（使用<img src>標記）你網站上的圖片，或者直接在其餘網頁（使用flash或媒體播放插件）裏嵌入了你網站上的mp3。 
二、在人氣很是旺的網站、論壇、社區裏提供了你的資源的下載地址。 
三、你網站的資源可能被一些下載軟件列入了「資源候選名單」，當其餘人用下載工具下載相同的文件時，下載軟件會自動找上門而且從你的服務器下載。 

既然被盜鏈的後果這麼可怕，那有哪些方法能夠防止盜鏈呢？下面從簡到繁總結一下常見的以及本身實踐過的一些方法，並簡單分析一下。不過很遺憾地，這些方法都無法徹底杜絕被盜鏈，而且防盜鏈的目的應該是從必定的程度上減小被盜鏈所產生的影響，同時能讓合法的用戶可以以天然的方式、順暢地從你的網站下載資源。 

方法1：判斷引用地址 
這個方法是最先及最多見的方法。所謂判斷引用地址，就是判斷瀏覽器請求時HTTP頭的Referer字段的值，這個值在asp.net裏面能夠用 Request.UrlReferrer屬性取得。幾個例子來講，在正常狀況下當用戶在瀏覽 http://uushare.com/abc.html 時點擊一個連接去到 http://uushare.com/jacky.mp3 文件時，瀏覽器在發出請求jacky.mp3 資源時還會附帶當刻瀏覽器所處的頁面地址（即http://uushare.com/abc.html），因此當你的網站程序接收到下載 jacky.mp3 資源請求的時候，先判斷http的referer字段的值，若是是從 本身的域名（uushare.com）過來的，則能夠認爲是合法的鏈接請求，不然就返回一個錯誤的提示信息。 

這種方法一般用於圖片、mp3這種容易被人用html「嵌入」到其餘網站的資源，使用這種方法能夠防止你的圖片直接出如今別人的網頁裏（或者防止mp3直接被其餘網站嵌入到flash播放器裏），不過訪客使用下載工具仍是能夠輕鬆下載，由於如今的下載工具通常會自動用你的域名構造一個引用地址，因此若是想再進一步防範的話，可使用一個對應表限制每一個資源的引用地址，例如將 jacky.mp3 的引用地址限制爲 http://uushare.com/abc.html?id=12345，這樣下載工具就不太可能構造一個「正確」的引用地址了。 

方法2：使用登陸驗證 
這個方法常見於論壇、社區。當訪客請求網站上的一個資源時，先判斷此請求是否經過登陸驗證（在asp.net裏經常使用session或form驗證來記錄登陸狀態），若是還沒有登陸則返回一個錯誤提示信息。使用這個方法還能夠進一步判斷登陸的用戶的權限是否足夠，以實現帶「權限」的下載。 
不過由於登陸狀態依賴於會話id，而會話id每每儲存於http請求的cookie字段裏，下載工具通常無法得到瀏覽器的cookie字段，因此這些資源每每沒法使用下載工具來下載，給正常合法用戶帶來諸多不便（由於大部分網民的系統都安裝了下載工具，一點擊下載連接通常會被下載工具攔截，致使沒法使用瀏覽器自己的下載功能）。簡單的解決方法是將這個session id放到URL中。 
這種方法的另一個缺點是訪客沒法匿名下載，因此這個方法通常只用於論壇和社區網站。

方法3：使用cookie 
其實這種方法原理上跟方法2差很少。就是在顯示「下載」連接的頁面裏產生一個動態值的cookie，而後在處理資源下載請求時先判斷cookie裏有沒有正確的cookie，若是沒有則返回錯誤提示信息。至於這個動態值如何產生，只要能逆向判斷動態值是否合法的均可以，例如將當前的時間去除秒數取哈希值（也叫散列值）。若是網頁程序是asp.net則更簡單，能夠往Session裏隨便存一個字符串或數字，而後在處理下載請求時先檢查Session裏是否存在這個字符串或數字。使用這個方法的缺點跟方法2同樣。 

方法4：使用POST下載 
客戶端瀏覽器請求資源都是使用HTTP的GET方法的，其實使用POST方法也能夠往客戶端返回數據。因此能夠將下載連接換成一個表單（Form）和一個按鈕(Submit)，將待下載的文件的名稱或id放到表單的一個隱藏文本框（Input）裏，當用戶點擊提交按鈕時，服務程序先判斷請求是否爲POST方式，若是是則讀取目標資源的二進制數據並寫入響應對象（在asp.net裏是respone.BinaryWrite方法）。 
使用這個方法的缺點一樣是沒法使用下載工具，更無法實現斷點續傳。 不過比方法2，3好一點的是，下載工具不會攔截你的下載動做，因此正經常使用戶仍是比較順暢地下載到文件。這個方法比較適合小文件的下載。 

方法5：使用圖形驗證碼 
使用這個方法能夠保證每次下載都是「人」在你的網站上下載，而不是下載工具。由於網上不少介紹使用圖形驗證碼的方法，因此這裏就再也不重複了。這個方法的缺點是比較容易讓正常的用戶感到麻煩。 

方法6：使用動態文件名 
也叫動態鑰匙法，當用戶點擊一個下載連接時，先在程序端計算一個Key（使用必定規律產生的Key，最好不要使用隨機字符串例如GUID，而且這個Key必須有必定時效的），而後在數據庫或Cache裏記錄這個Key以及它所對應的資源ID或文件名，最後讓網頁重定向一個新的URL地址，這個新URL地址裏須要包含這個Key。當瀏覽器或下載工具發出下載請求時，程序先檢測這個Key是否存在，若是存在則返回對應的資源數據。 
使用這個方法的好處是下載工具也能夠下載，而且在Key失效前能夠斷點續傳，而且能夠經過Key來控制下載的線程數。 

使用這個方法（包括以上全部支持下載工具的方法）的缺點是：當任意一個用戶下載成功以後，你的資源就會被一些下載工具列入「資源候選名單」，之後其餘人在其餘地方下載一樣的文件時，下載工具會不斷鏈接你的服務器，即便你的文件已經刪除或者Key已經失效了，這樣會形成類DDos攻擊的後果，下面再介紹兩個便可以讓下載工具下載，又能夠防止盜鏈的方法。 

方法7：擅改資源的內容 
通常熱門的資源都是電影、mp三、較大的壓縮包等，這些文件都是有不少能夠插入數據的地方的，例如mp3有一個tag區，rar/zip有一個備註區，電影的內容隨便一個地方，只要在下載過程中，動態地往這些地方注入一些隨機的字節（幾個字節便可），就能夠達到讓整個文件的哈希值（即散列值、指紋值）發生改變，讓從你網站下載的文件的哈希值跟別人的不同，就能夠防止下載工具主動找上門了。用這個方法配合方法6，能夠達到較好的防盜鏈的效果。缺點是，雖然文件被修改的部分不會被「看」、「聽」出來，不過多多少少讓知道的人以爲不爽。另外就是若是別人把從你網站下載的文件放到其餘網站，那麼仍然存在下載工具主動找上門的狀況（雖然實際上它下載不了內容）。 

方法8：打包下載 
這個方法跟方法7的道理是同樣的，只不過此次不是往原始文件裏修改，而是在原始的文件基礎上再加個「外殼」，讓資源的哈希值跟別人的不同。使用這個方法能夠在不擅改資源原始的內容基礎上實現方法6一樣的效果，而且狠一點的話，甚至能夠在打包的時候放入本身的一些廣告。缺點是用戶每次下載都得加壓縮，不過目前大部分人都懂得解壓，因此這個缺點有時能夠忽略不計。 

好了，上面列了一些常見的防盜鏈的方法，若是你們還有其餘的方法要補充，能夠發表在評論中。 

出處：http://www.cnblogs.com/uubox