php伪造referer 使用referer防止图片盗链

php中文网

发布： 2016-07-25 08:54:36

原创

1483人浏览过

# 只允许来自don.com的访问，图片可能就放置在don.com网站的页面上
setenvifnocase referer "^http://www.don.com/" local_ref
# 直接通过地址访问
setenvif referer "^$" local_ref

复制代码

然后，再规定被标记了的访问才被允许：

order allow,deny
allow from env=local_ref
或者
order deny,allow
deny from all
allow from env=local_ref

复制代码

不要使用rerferer的地方

不要把rerferer用在身份验证或者其他非常重要的检查上，因为rerferer非常容易在客户端被改变，不管是通过上面介绍的firefox扩展，或者是privoxy，甚至是libcurl的调用，所以rerferer数据非常之不可信。如果你想限制用户必须从某个入口页面访问的话，与其使用referer，不如使用session，在入口页面写入session，然后在其他页面检查，如果用户没有访问过入口页面，那么对应的session就不存在，参见这里的讨论。不过和上面说的一样，也不要过于相信这种方式的“验证”结果。个人感觉现在rerferer除了用在防盗链，其他用途最多的就是访问统计，比如统计用户都是从哪里的链接访问过来的等等。

http-referer这个变量已经越来越不可靠了，完全就是可以伪造出来的东东。以下是伪造方法： php(前提是装了curl):

$ch = curl_init();
curl_setopt ($ch, curlopt_url, "http://www.d.cn/xxx.asp");
curl_setopt ($ch, curlopt_referer, "http://www.d.cn/");
curl_exec ($ch);
curl_close ($ch);

复制代码

php(不装curl用sock)

$server = 'www.dc9.cn';
$host = 'www.dc9.cn';
$target = '/xxx.asp';
$referer = 'http://www.d.cn/'; // referer
$port = 80;
$fp = fsockopen($server, $port, $errno, $errstr, 30);
if (!$fp)
{
echo "$errstr ($errno)
\n";
}
else
{
$out = "get $target http/1.1\r\n";
$out .= "host: $host\r\n";
$out .= "cookie: aspsessionidsqtbqsda=dfcapklbbficdafmhnkigkeg\r\n";
$out .= "referer: $referer\r\n";
$out .= "connection: close\r\n\r\n";
fwrite($fp, $out);
while (!feof($fp))
{
echo fgets($fp, 128);
}
fclose($fp);
}
javascript
xmlhttp.setrequestheader("referer", "http://url");// 呵呵~假的~

复制代码

js不支持^_^

Felvin

AI无代码市场，只需一个提示快速构建应用程序

161

查看详情

原理都是sock构造http头来senddata。其他语言什么的比如perl也可以,目前比较简单的防御伪造referer的方法是用验证码（session）。现在有一些能防盗链软件的商业公司比如uudog，linkgate，virtualwall什么的，都是开发的应用于iis上面的dll。有的是采用cookies验证、线程控制，有的是能随机生成文件名然后做url重写。有的方法能的确达到不错的效果。

大家都在看：

PHP怎么防止图片盗链_PHP保护服务器图片资源安全 PHP防止视频外链盗用的方案_PHP视频外链盗用防护攻略 PHP如何实现付费视频解析？会员等级访问控制 PHP怎样解析HTML5视频解析HTML5视频的5个实用技巧 php 如何防止盗链