PHP防盗链是在服务器判断HTTP请求来源,如果来源不合法就拒绝请求,从而保护原服务器资源不被其他恶意网站盗链的技术手段。具体实现方法如下:
1. 设置HTTP_REFERER
在HTTP请求头中的Referer字段,记录了请求来源的信息,其值为当前请求的URL。可以通过判断该字段的值是否符合条件,来判断是否为合法请求。比如以下PHP代码示例中,使用$_SERVER['HTTP_REFERER']获取请求的来源,然后通过strpos函数检测Referer中是否包含了指定的合法域名,如果包含则允许访问,否则拒绝访问。
$referer = $_SERVER['HTTP_REFERER'];
if(strpos($referer, 'example.com') !== false){
// 合法请求,允许访问
}else{
// 非法请求,拒绝访问
header("HTTP/1.1 403 Forbidden");
exit;
}
2. 动态生成防盗链链接
如果将防盗链代码硬编码在页面中,容易被恶意网站绕过。为了增加防盗链的难度,我们可以使用服务器端动态生成防盗链链接。比如以下PHP代码示例中,通过生成带有加密参数的URL,访问者必须先解密参数,才能访问资源,从而增加了防盗链的难度。
$file_path = '/path/to/file'; // 文件路径
$secret_key = 'abcdefg'; // 秘钥
// 生成防盗链链接
function getAntiLeechUrl($file_path, $secret_key)
{
$timestamp = time();
$url = 'http://example.com' . $file_path . '?t=' . $timestamp;
$enc = md5($secret_key . $url . $timestamp);
return $url . '&e=' . $enc;
}
// 判断是否为合法请求
function isValidRequest($file_path, $secret_key)
{
$referer = $_SERVER['HTTP_REFERER'];
if(strpos($referer, 'example.com') !== false){
$url = 'http://example.com' . $file_path;
$timestamp = $_GET['t'];
$enc = $_GET['e'];
return $enc === md5($secret_key . $url . $timestamp);
}
return false;
}
// 检测是否是合法请求
if(isValidRequest($file_path, $secret_key)){
// 合法请求,输出文件内容
readfile($file_path);
}else{
// 非法请求,拒绝访问
header("HTTP/1.1 403 Forbidden");
exit;
}
以上两种方法都可以用于防御盗链攻击,并且可以根据需要进行适当的修改来加强安全性。
本站部分内容来源互联网,如果有图片或者内容侵犯了您的权益,请联系我们,我们会在确认后第一时间进行删除!