我的下载链接是如何做到下载防盗链的
2020年07月05日 15:27:28 · 本文共 923 字阅读时间约 3分钟 · 5,319 次浏览说到下载站在好几年前十分流行,但因为带宽流量十分昂贵,很多下载站开始存在盗链的行为,访客访问别人的网页点击下载,却使用的是我的服务器流量,导致宽带流量被大量盗取,所以防盗链是下载站必修课。
什么是盗链
首先,我们要知道为什么有盗链的情况存在,因为分享一个软件或者文件提供下载服务需要服务器的带宽和流量,往往一个文件好几十兆甚至上GB级别,所以提供下载服务是十分费钱的,一些动小聪明的站长开始动起小聪明,网页和网站是自己的,但是下载链接使用别人的链接,这就可以让访客访问自己的页面,但是点击下载却用的是别人的链接下载,这样巨大的下载流量成本就由别人承担了,这种行为就叫盗链。
如何防盗链
防盗链的手段,我知道的一般有三种:判断引用地址、动态链接下载、签名鉴权。
判断引用地址
这个方法是最早及最常见的方法。所谓判断引用地址,就是判断浏览器请求时HTTP头的Referer字段的值,Referer字段是浏览器自己添加的,用于告诉服务器这个链接是来自哪个页面访问的,如果这个值不是自己的域名那么就拒绝发送文件,但是这种方式现在已经不太够用了,因为如果连接直接被分享,例如通过QQ群分享,就是直接访问而不是通过某个页面访问的,那么这个Referer字段是没有的,也无法保证自己的流量不被盗。
动态链接下载
这个方式是将静态的文件地址改为动态请求,通过编程的方式,传递一个文件编号,然后程序再通过cookie、登陆状态、权限等判断,给浏览器返回二进制流实现文件的下载,虽然比上一个方法可以判断的内容更多,但是还是没办法阻止直接分享下载链接的行为。
签名鉴权
这个方法是最近比较常用的,在用户请求下载文件之前,我会使用自己的私钥签名一个过期时间生成一个签名,使用链接加签名构造一个新的链接,也就是为每一个人生成属于自己的下载链接,这个链接只有在我指定的有效期内可以使用,即使被直接分享到QQ群里,因为有时间的判断,也不会造成大量流量的盗取。
我正在使用的防盗链方式
我在软件分享分类中提供了mac软件分享下载的功能,为了导致被盗链,我使用的是签名鉴权的方式,首先我会先要求关注公众号,然后发送一个编号,由公众号生成一个验证码,这样可以防止机器人爬虫来批量申请验证码,然后填写验证码申请下载链接,下载链接我会使用私钥对有效期进行签名,这样即使这个链接被分享出去了,在超过有效期以后也是无法被使用的,需要重新申请链接。
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.renfei.net/posts/1003396
相关推荐
猜你还喜欢这些内容,不妨试试阅读一下以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。
- 前后端分离项目接口数据加密的秘钥交换逻辑(RSA、AES)
- OmniGraffle 激活/破解 密钥/密匙/Key/License
- Parallels Desktop For Mac 16.0.1.48911 破解版 [TNT]
- Redis 未授权访问漏洞分析 cleanfda 脚本复现漏洞挖矿
- CleanMyMac X 破解版 [TNT] 4.6.0
- OmniPlan 激活/破解 密钥/密匙/Key/License
- 人大金仓 KingbaseES V8 R3 安装包、驱动包和 License 下载地址
- Sound Control 破解版 2.4.2
- Parallels Desktop For Mac 15.1.4.47270 破解版 [TNT]
- Parallels Desktop For Mac 16.0.0.48916 破解版 [TNT]
- 博客完全迁移上阿里云,我所使用的阿里云架构
- 微软确认Windows 10存在bug 部分电脑升级后被冻结
- 大佬们在说的AQS,到底啥是个AQS(AbstractQueuedSynchronizer)同步队列
- 比特币(BTC)钱包客户端区块链数据同步慢,区块链数据离线下载
- Java中说的CAS(compare and swap)是个啥
- 小心免费主题!那些WordPress主题后门,一招拥有管理员权限
- 强烈谴责[wamae.win]恶意反向代理我站并篡改我站网页
- 讨论下Java中的volatile和JMM(Java Memory Model)Java内存模型
- 新版个人网站 NEILREN4J 上线并开源程序源码
- 我站近期遭受到恶意不友好访问攻击公告