资源盗链 ​

资源盗链指本站资源地址被第三方未经授权直接使用

预防方式 ​

预防方式

• 对链接处理
  • 资源地址自动化更新
  • 对 referer 头进行同源或白名单判断
  • 用户认证，判断当前资源的访问者
• 对资源处理
  • 添加水印

referer 字段 ​

Referer 是 HTTP 请求头的一个字段在访问资源时，默认会带上请求来源的地址(可手动关闭)

常见用途

• 统计: 可用来统计请求资源的数量，(注意：AJAX 请求不适用，因为其值会忽略资源路径)
• 防盗链: 通过配置白名单，判断请求来源是否为合法

注意

• Referer 字段通常由浏览器自动携带，可以手动关闭，直接通过 地址栏访问的 接口 无 Referer 字段 (因为为空)
• Referer 本质为请求 Header 字段，可以进行伪造
• 以下情况 Referer 不会被发送
  • 来源页面协议为表示本地文件的 file 或 data URI
  • 当前请求页面采用的是非安全协议，而来源页面采用的是安全协议

生产处理

• 生产中一般不在代码中处理
• 运营商通常会提供对应的服务(一般在 访问控制 中)，进行快速配置