Asp.net防止盜鏈的實現原理分析

如果被引用的站比較小這樣外站盜鏈帶來的“無作用”流量就給站長帶來了壓力了（流量也是要錢滴）。對於防盜鏈可以從兩個方面來防，一個是伺服器，一個是程式裡面判斷。各個伺服器的判斷不一樣，iis需要安裝特定的防盜鏈軟體。我們今天主要討論的是程式裡實現防盜鏈。

原理解釋

網上現在比較流行的是使用handler來實現防盜鏈。具體的意思如下：專門建立一個針對某種檔案請求的處理類（繼承於IHttpHandler）並在 web.config裡面配置好所有的該檔案請求都指向該類。然後在類裡面判斷該請求的前一次請求是不是存在並且指向我們站的網域名稱，如果存在則認為不是盜鏈，返回真實的檔案。否則返回error圖片。

讓我們設想一下如果現在另外一個網站引用了我們站的圖片，並應用到了一篇文章當中。現在有個人請求那個網站的文章，使用者的request是向他們的伺服器發出的，他們站的伺服器返回html讓瀏覽器解析。瀏覽器解析到我們的圖片地址時他會向我們站發起這個圖片的請求。因為我們程式的設定這個請求會被轉寄到我們特定的類做處理，程式判斷這個request前面的請求是不是為空白（顯然它只請求了我們的圖片其他沒有請求，所以當然沒有前面的請求），為空白則返回 error圖片。理解了上面的過程就容易知道為什麼請求我們站的那個網頁時裡面的圖片則正確顯示了，使用者顯示request了那個頁面，所以裡面當然有前面訪問的記錄。當瀏覽器解析我們站的圖片時候就正確返回了。不知道大家懂了沒呢？

代碼實現

首先建立一個類繼承於IHttpHandler，我這裡就叫做ForbiddenInvaliteDownload類了：
代碼 複製代碼 代碼如下:public bool IsReusable
{
get { return true; }
}
public void ProcessRequest(HttpContext context)
{
if (null != context.Request.UrlReferrer)
{
context.Response.Expires = 0;
context.Response.Clear();
context.Response.ContentType = "image/jpg";
context.Response.WriteFile(context.Request.PhysicalPath);
context.Response.End();
}
else
{
context.Response.Expires = 0;
context.Response.Clear();
context.Response.ContentType = "text/html";
context.Response.Write("盜鏈");
context.Response.End();
}
}

代碼很少，大家一看就明白了。就是用context.Request.UrlReferrer這個判斷一下前面一個請求是否存在，存在則認為是合法的，否則不合法。
僅僅是這個類還不能將所有的jpg請求轉寄過來，我們需要配置一下webconfig，在System.Web下配置：
代碼 複製代碼 代碼如下:<httpHandlers>
<add verb="*" path="*.jpg" type="Namespace.ForbiddenInvaliteDownload,Namespace"/>
</httpHandlers>

這裡還要提到的是IIS預設是不會為JPG檔案發送請求的，而是直接擷取。所以我們還要在iis裡面配置一下讓所有的jpg請求都轉寄到我們的那個處理常式，而不是iis預設的直接獲得。配置

至此，你的網站已經可以防止jpg檔案被盜了。當然，其他的zip等等檔案同樣也可以實現，您可以處理一個通用類，根據請求的尾碼判斷是什麼類型從而進行操作。下面是：

結束了嗎
上面的方式並不能防止迅雷等下載軟體的下載，在迅雷裡面輸入這些地址照樣可以下載。如果別的站引用了你的某個.zip的檔案連結，這樣還是可以直接下載到的。那該如何解決呢？我目前想到的就是加入session驗證。
如果使用者訪問了你的下載頁面則在load裡面設定session[“visited”]=”true”，然後在下載裡面增加一個session驗證，代碼如下（注意，需要繼承
System.Web.SessionState.IRequiresSessionState才能使用session）：
代碼

複製代碼 代碼如下:if (null != context.Request.UrlReferrer && context.Session["visited"] == "true")
{
context.Response.Expires = 0;
context.Response.Clear();
context.Response.ContentType = "image/jpg";
context.Response.WriteFile(context.Request.PhysicalPath);
context.Response.End();
}
else
{
context.Response.Expires = 0;
context.Response.Clear();
context.Response.ContentType = "image/jpg";
context.Response.WriteFile(context.Request.PhysicalApplicationPath + "Images/2.jpg");
context.Response.End();
}

這樣我們調試的時候調用迅雷下載這個圖片就可以發現session裡面是沒有值的，當然就下載error圖片了。