Asp.Net Core 通過中介軟體防止圖片盜鏈的執行個體

一、原理

要實現防盜鏈，我們就必須先理解盜鏈的實現原理，提到防盜鏈的實現原理就不得不從HTTP協議說起，在HTTP協議中，有一個表頭欄位叫referer，採用URL的格式來表示從哪兒連結到當前的網頁或檔案。換句話說，通過referer，網站可以檢測目標網頁訪問的來源網頁，如果是資源檔，則可以跟蹤到顯示它的網頁地址。有了referer跟蹤來源就好辦了，這時就可以通過技術手段來進行處理，一旦檢測到來源不是本站即進行阻止或者返回指定的頁面。如果想對自己的網站進行防盜鏈保護，則需要針對不同的情況進行區別對待。

如果網站伺服器用的是apache，那麼使用apache內建的Url Rewrite功能可以很輕鬆地防止各種盜鏈，其原理也是檢查refer，如果refer的資訊來自其他網站則重新導向到指定圖片或網頁上。

如果伺服器使用的是IIS的話，則需要通過第三方外掛程式來實現防盜鏈功能了，現在比較常用的一款產品叫做ISAPI_Rewrite，可以實作類別似於apache的防盜鏈功能。另外對於論壇來說還可以使用“登入驗證”的方法進行防盜鏈。

二、實現防盜鏈

現在讓我們在ASP.NET Core中實現防盜鏈技術來保護我們的應用程式和網站檔案。這就要通過ASP.NET Core中的中介軟體技術，監聽並處理所有傳入的請求，檢查這些請求是不是來自我們的應用程式。

讓我們來建立這個防盜鏈的中介軟體程式：

public class HotlinkingPreventionMiddleware{  private readonly string _wwwrootFolder;  private readonly RequestDelegate _next;   public HotlinkingPreventionMiddleware(RequestDelegate next, IHostingEnvironment env)  {    _wwwrootFolder = envWebRootPath;    _next = next;  }   public async Task Invoke(HttpContext context)  {    var applicationUrl = $"{contextRequestScheme}://{contextRequestHostValue}";    var headersDictionary = contextRequestHeaders;    var urlReferrer = headersDictionary[HeaderNamesReferer]ToString();     if(!stringIsNullOrEmpty(urlReferrer) && !urlReferrerStartsWith(applicationUrl))    {      var unauthorizedImagePath = PathCombine(_wwwrootFolder,"Images/Unauthorizedpng");               await contextResponseSendFileAsync(unauthorizedImagePath);    }           await _next(context);  }}

在這個中介軟體中我們可以看到ASP.NET Core中的Request對象並沒有對Referrer進行封裝，想擷取Referrer，就要通過HTTP頭資訊（Headers）進行訪問。

一般都要有一個IApplicationBuilder擴充：

public static class BuilderExtensions{  public static IApplicationBuilder UseHotlinkingPreventionMiddleware(this IApplicationBuilder app)  {    return appUseMiddleware();  }}

最後，使用它只需要在Configure函數中調用，上面的擴充函數。

app.UseHotlinkingPreventionMiddleware();

三、真能防？

如何突破防盜鏈？針對檢查refer的方式，可以在頁面中介軟體裡面先進入目的地址的另外一個頁面在轉到目的頁面即可，這樣頁面的refer就是目的網站自己的，如此，即做到突破。這方面可以使用的工具很多，尤其是成熟的web項目測試包，如HtmlUnit，直接在請求中設定refer都是可以的。

如果盜用網站是 https 的 protocol，而圖片連結是 http 的話，則從 https 向 http 發起的請求會因為安全性的規定，而不帶 referer，從而實現防盜鏈的繞過。

最後，我只能說這種方式，只能在一定程度上進行防禦，不可能杜絕所有的攻擊，還是建議使用成熟伺服器應用的方案，比如Nginx。

以上就是本文的全部內容，希望對大家的學習有所協助，也希望大家多多支援topic.alibabacloud.com。