利用Referer请求头阻止"盗链"

转自：http://wisdomsong2007.blog.163.com/blog/static/47783725200882523820664/

前言

有一些站点自己没有提供下载空间，但是为了吸引人气和提高站点的访问量，他们也提供了各种软件的下载页面，并让下载的超链接指向其他站点上的资源。另外一些真正提供了下载空间的站点为了防止这种“盗链”，需要检查请求的来路，只接受本站内的页面链接进来的下载请求，而阻止其他站点的页面链接进来的下载请求。要实现这样的功能，就需要检查请求消息的referer头字段是否与本站匹配。

内容

动手体验：利用Referer请求头阻止“盗链”

（1）编写一个名为DownManagerServlet的Servlet程序，这个Servlet程序负责提供下载内容，但它要求下载请求必须通过本站的下载页面链接进来，否则将请求转发给本站的下载说明页。

1. DownManagerServlet.java

package com.horizon.servlet;

import java.io.*;

import javax.servlet.*;

import javax.servlet.http.*;

public class DownManagerServlet extends HttpServlet {

    private static final long serialVersionUID = -6169822662725860603L;

    public void service(HttpServletRequest request,    HttpServletResponse response) throws ServletException, IOException {

        response.setContentType("text/html ;charset=gb2312");
        PrintWriter out = response.getWriter();
        String referrer = request.getHeader("referer");
        String sitePart = "http://" + request.getServerName();
        if (referrer != null && referrer.startsWith(sitePart)) {

            // 处理正当的下载请求，这里只进行示意
            out.println("dealing download ...");

        } else {

            // 非法下载请求跳转到本站的下载说明页
            RequestDispatcher rd = request.getRequestDispatcher("/down.html");
            rd.forward(request, response);

        }
    }
}

2. web.xml文件内容：

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" id="WebApp_ID" version="2.5">
  <display-name>HelloServlet</display-name>
  <servlet>
    <servlet-name>DownManagerServlet</servlet-name>
    <servlet-class>com.horizon.servlet.DownManagerServlet</servlet-class>
  </servlet>
  <servlet-mapping>
    <servlet-name>DownManagerServlet</servlet-name>
    <url-pattern>/servlet/DownManagerServlet</url-pattern>
  </servlet-mapping>
  <welcome-file-list>
    <welcome-file>index.jsp</welcome-file>
  </welcome-file-list>
</web-app>

3. down.html内容：

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
     this is the down.html
</body>
</html>

4. index.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
<base href="http://localhost:6060/HelloServlet/down.html" />
</head>
<body>
    <a href="servlet/DownManagerServlet">down</a>
</body>
</html>

5. 如图结构：

6.

接着在浏览器地址栏中输入如下地址：

http://localhost:6060/HelloServlet/servlet/DownManagerServlet

由于这是直接在浏览器地址栏中输入的访问地址，请求消息中不含Referer请求头，DownManagerServlet将down.html页面转发给浏览器，浏览器中显示的结果如图所示：

单击图中的超链接再次访问DownManagerServlet，由于这时的请求消息中包含有Referer请求头且其值与DownManagerServlet位于同一WEB站点，DownManagerServlet接受下载请求，浏览器中显示的结果如图所示：