【安全狗每周热点问题】第十五期主要内容:
题目:
近来,有部分用户反馈网站被盗链的问题,咨询关于网站安全狗防盗链功能是否有效,应该如何设置?
回答:
首先我们来看看什么是盗链。所谓盗链是指服务提供商自己不提供服务的内容,通过技术手段绕过其它有利益的最终用户界面(如广告),直接在自己的网站上向最终用户提供其它服务提供商的服务内容,骗取最终用户的浏览和点击率。比较常见的是一些名不经传的小网站来盗取一些有实力的大网站的地址(比如一些音乐、图片、软件的下载地址)然后放置在自己的网站中,通过这种方法盗取大网站的空间和流量,同时减轻自家服务器的负担。
常见的盗链有以下几种:图片盗链、音频盗链、视频盗链、文件盗链等。网站盗链会大量消耗被盗链网站的带宽,而真正的点击率也许会很小,严重损害了被盗链网站的利益。
那如何实现防盗链呢?
所谓防盗链,主要是防止别人通过一些技术手段绕过本站的资源展示页面,盗用本站的资源,让绕开本站资源展示页面的资源链接失效。如果想对自己的网站进行防盗链保护,小编建议可以使用网站安全狗防盗链功能,防止自己的网站内容被他人盗用,保护网站上的资源安全。
网站安全狗的防盗链有两种防护方式,分别是引用方式和会话方式。
1、引用方式主要用于图片,下载资源等类型的防盗链(如JPG图片,GIF图片,RAR等下载资源)并且支持跨域名。主要是通过判断referer变量的值来判断图片或资源的引用是否合法,只有在设定范围内的referer,才能访问指定的资源,从而实现防盗链的目的。
同时,启用“引用方式”的防盗链功能,还可以“设置信任域名”,信任域名将不在网站资源防盗链功能的防护之内。需要注意的是在启动“引用方式”后,添加本地域名到“信任域名”时,需要勾选“其他域名信任”选项。
2、会话方式主要用于流媒体类型的防盗链(如MP3,WMA等在线播放资源)。需要注意的是会话方式只支持同一顶级域名但是两者都支持跨服务器。
所谓会话反盗链方式,先从客户端获取用户信息,然后根据这个信息和用户请求的文件名字一起加密成字符串(Session ID)作为身份验证。只有当认证成功以后,服务端才会把用户需要的文件传送给客户。由于这个Session ID和用户的信息挂钩,所以别人就算是盗取了链接,该Session ID也无法通过身份认证,从而达到反盗链的目的。这种会话方式对于分布式盗链非常有效。
防盗链对于网站安全来说是至关重要的,再次建议用户们注意做好网站防盗链工作,保证网站资源安全以及网站的正常运营。
附其他部分防盗链方法:
1、经常更换音乐文件及其所在文件夹的名称。这种方法被认为是最简单,最原始的方法,只要发现服务器流量不正常了,就把后台打开更新资源地址,程序就自动修改资源名称。这样一来被盗链的地址就马上失效了。 但这个方法有个缺点,那就是由于资源够多,更新起来会很占服务器资源,请注意。
2、隐藏音乐文件的真实地址。
3、用asp.net拦截httpHandlers,该方法和拦截IIS的ISAPI插件基本上是一个原理。原理是通过链接请求的来路判断是否为盗链。如果来路不符合要求则表示该请求为盗链的,马上终止就可以了。作为资源下载站,根本不用隐藏真实地址,就算完全暴露在外,其他站长把地址放到他的站上点击就会失效。
4、通过密匙验证。
5、使用登录验证。当访客请求网站上某个资源时,先判断该请求是否通过登录验证,如尚未登录则返回错误信息。
6、使用图形验证码。这个方法可以保证每次下载都是“人”的下载,而不是下载工具。但这个方法有个缺点,久了会让用户觉得厌烦。
====安全狗, 您的服务器安全专家====
——推荐给您的好友
公众微信号:安全狗
或者直接搜微信号:safedog2013
——内容分享
点击右上角“分享”按钮,分享到朋友圈
——更多精彩内容
回复【1】:了解安全狗产品相关信息;
回复【2】:与安全狗团队取得联系;
回复【3】:查看安全狗所有文章目录;
回复【4】:了解枸杞们对安全狗的评价;
安全狗官网:www.safedog.cn
安全狗官方微博:@安全狗safedog
