SpringBoot 实现图片防盗链功能

前言

出于安全考虑,我们需要后端返回的图片只允许在某个网站内展示,不想被爬虫拿到图片地址后被下载。或者,不想浏览器直接访问图片链接。

出于性能考虑,不想要别人的网站,拿着我们的图片链接去展示,白白消耗自己的服务器资源。

故而可在springboot中,使用简单的图片防盗链规则。拦截掉一些处理。

1、代码实现

本篇实战代码是简易版,代码写死配置

1-1、创建拦截器类
ruby 复制代码
import org.springframework.web.servlet.HandlerInterceptor;import org.springframework.web.servlet.ModelAndView;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;public class ImageProtectionInterceptor implements HandlerInterceptor {    private static final String ALLOWED_DOMAIN = "baidudu.com"; // 允许的域名    @Override    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {        // 获取请求的 URL        String requestUrl = request.getRequestURL().toString();        // 判断请求是否以图片后缀结尾        if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || requestUrl.endsWith(".jpeg")) {            // 获取请求的来源域名            String referer = request.getHeader("Referer");            // 检查来源域名是否符合预期            if (referer != null && referer.contains(ALLOWED_DOMAIN)) {                return true; // 符合防盗链要求,放行请求            } else {                response.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回 403 Forbidden                return false; // 拦截请求            }        }        return true; // 对非图片资源请求放行    }}
1-2、注册拦截器
kotlin 复制代码
import org.springframework.context.annotation.Configuration;import org.springframework.web.servlet.config.annotation.InterceptorRegistry;import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configurationpublic class WebConfig implements WebMvcConfigurer {    @Override    public void addInterceptors(InterceptorRegistry registry) {        // 注册拦截器,拦截所有请求        registry.addInterceptor(new ImageProtectionInterceptor())                .addPathPatterns("/**"); // 拦截所有请求    }}

2、代码实现(灵活配置)

2-1、在 application.yml 中配置信息
arduino 复制代码
# 图片防盗链配置img-protect:  # 图片防盗链保护开关  enabled: true  # 是否允许浏览器直接访问  allowBrowser: false  # 图片防盗链白名单,多个用逗号分隔【不填则所有网站都拦截】  allowReferer: baidudu.com
2-2、创建配置文件映射类
typescript 复制代码
import org.springframework.boot.context.properties.ConfigurationProperties;import org.springframework.stereotype.Component;@Component@ConfigurationProperties("img-protect")public class ImgProtectConfig {    private boolean enabled;    private boolean allowBrowser;    private String allowReferer;    public boolean getEnabled() {        return enabled;    }    public void setEnabled(boolean enabled) {        this.enabled = enabled;    }    public boolean getAllowBrowser() {        return allowBrowser;    }    public void setAllowBrowser(boolean allowBrowser) {        this.allowBrowser = allowBrowser;    }    public String getAllowReferer() {        return allowReferer;    }    public void setAllowReferer(String allowReferer) {        this.allowReferer = allowReferer;    }}
2-3、创建拦截器类
vbnet 复制代码
import 上方2-2创建的类路径.ImgProtectConfig;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.stereotype.Component;import org.springframework.web.servlet.HandlerInterceptor;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import java.util.Arrays;import java.util.HashSet;import java.util.Set;@Componentpublic class ImageProtectionInterceptor implements HandlerInterceptor {    @Autowired    private ImgProtectConfig imgProtectConfig;    @Override    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {  // 判断是否开启图片防盗链功能        if (!imgProtectConfig.getEnabled()){            return true;        }                // 获取请求的 URL        String requestUrl = request.getRequestURL().toString();        // 判断请求是否以图片后缀结尾        if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || requestUrl.endsWith(".jpeg")) {            // 获取请求的来源域名            String referer = request.getHeader("Referer");            // 检查来源域名是否符合预期,referer 为 null 则说明是浏览器直接访问。            if (referer == null && imgProtectConfig.getAllowBrowser()){                return true; // 符合防盗链要求,放行请求            }else if (referer != null && isAllowedDomain(referer)) {                return true; // 符合防盗链要求,放行请求            } else {                response.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回 403 Forbidden                return false; // 拦截请求            }        }        return true; // 对非图片资源请求放行    }    // 检查是否来自允许的域名    private boolean isAllowedDomain(String referer) {        // 获取允许的域名        String allowedReferers = imgProtectConfig.getAllowReferer();        // 如果允许的域名不为空        if (allowedReferers.trim() != null && !"".equals(allowedReferers.trim())) {            // 将允许的域名分割成字符串数组            Set<String> allowedDomains = new HashSet<>(Arrays.asList(allowedReferers.split(",")));            // 遍历允许的域名            for (String allowedDomain : allowedDomains) {                // 如果请求的域名包含允许的域名,则返回true                if (referer.contains(allowedDomain.trim())) {                    return true;                }            }        }        // 否则返回false        return false;    }}
2-4、注册拦截器
ruby 复制代码
import org.springframework.context.annotation.Configuration;import org.springframework.web.servlet.config.annotation.InterceptorRegistry;import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configurationpublic class WebConfig implements WebMvcConfigurer {  // 不能再使用 new 方式创建对象 !!!  @Autowired    private ImageProtectionInterceptor imageProtectionInterceptor;    @Override    public void addInterceptors(InterceptorRegistry registry) {        // 注册拦截器,拦截所有请求        registry.addInterceptor(imageProtectionInterceptor)                .addPathPatterns("/**"); // 拦截所有请求    }}

结束语

以上防盗链拦截器基本实现可以对付一般情况下的图片盗链,但并不能保证绝对安全。

可能出现以下等情况:

  • Referer 伪造: 恶意客户端可以伪造 referer 头。攻击者可以伪造有效的 referer 来绕过保护。

  • 漏报: 攻击者可能找到绕过 referer 检查的方法(例如使用 data URI 或 base64 编码的图片)。

  • 误报: 合法用户可能因为 referer 不匹配而被阻止(例如隐私浏览器或代理服务器)。

  • 反向代理: 攻击者可以在url路径中,添加域名白名单作为反向代理路径,绕开代码的contains方法检查。

相关推荐
我命由我1234520 小时前
Android Studio - Android Studio 自定义预览尺寸
android·java·ide·java-ee·android studio·android-studio·android runtime
咖啡八杯21 小时前
GoF设计模式——迭代器模式
java·后端·设计模式·迭代器模式
AIGS0011 天前
企业AI落地的关键认知:向量空间JBoltAI的本体语义平台
java·人工智能·人工智能ai大模型应用
KaMeidebaby1 天前
卡梅德生物技术快报|抗体亲和力成熟工业化调控新机制:差异性浆细胞增殖工艺优化思路
java·开发语言·人工智能·算法·机器学习·架构·spark
醉城夜风~1 天前
Java详解经典算法题:接雨水(三种实现方案+原理剖析)
java·开发语言·算法
数智化转型推荐官1 天前
2026统一身份管理系统五大发展趋势解读
java·运维·微服务
看菜鸡互1 天前
探索用 SlideML 让大模型生成 PPT 的实验方法
java·运维
ZhengEnCi1 天前
S02-SpringBoot实体类新增字段对已有数据的影响及自动DDL同步机制详解
数据库·spring boot
程序员张31 天前
SpringBoot集成BCrypt密码加密库
java·spring boot·后端
闲猫1 天前
Spring AI Agentic 模式(第1部分):Agent Skills——模块化、可复用的能力
java·人工智能·spring