SpringBoot 实现图片防盗链功能

前言

出于安全考虑,我们需要后端返回的图片只允许在某个网站内展示,不想被爬虫拿到图片地址后被下载。或者,不想浏览器直接访问图片链接。

出于性能考虑,不想要别人的网站,拿着我们的图片链接去展示,白白消耗自己的服务器资源。

故而可在springboot中,使用简单的图片防盗链规则。拦截掉一些处理。

1、代码实现

本篇实战代码是简易版,代码写死配置

1-1、创建拦截器类
ruby 复制代码
import org.springframework.web.servlet.HandlerInterceptor;import org.springframework.web.servlet.ModelAndView;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;public class ImageProtectionInterceptor implements HandlerInterceptor {    private static final String ALLOWED_DOMAIN = "baidudu.com"; // 允许的域名    @Override    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {        // 获取请求的 URL        String requestUrl = request.getRequestURL().toString();        // 判断请求是否以图片后缀结尾        if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || requestUrl.endsWith(".jpeg")) {            // 获取请求的来源域名            String referer = request.getHeader("Referer");            // 检查来源域名是否符合预期            if (referer != null && referer.contains(ALLOWED_DOMAIN)) {                return true; // 符合防盗链要求,放行请求            } else {                response.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回 403 Forbidden                return false; // 拦截请求            }        }        return true; // 对非图片资源请求放行    }}
1-2、注册拦截器
kotlin 复制代码
import org.springframework.context.annotation.Configuration;import org.springframework.web.servlet.config.annotation.InterceptorRegistry;import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configurationpublic class WebConfig implements WebMvcConfigurer {    @Override    public void addInterceptors(InterceptorRegistry registry) {        // 注册拦截器,拦截所有请求        registry.addInterceptor(new ImageProtectionInterceptor())                .addPathPatterns("/**"); // 拦截所有请求    }}

2、代码实现(灵活配置)

2-1、在 application.yml 中配置信息
arduino 复制代码
# 图片防盗链配置img-protect:  # 图片防盗链保护开关  enabled: true  # 是否允许浏览器直接访问  allowBrowser: false  # 图片防盗链白名单,多个用逗号分隔【不填则所有网站都拦截】  allowReferer: baidudu.com
2-2、创建配置文件映射类
typescript 复制代码
import org.springframework.boot.context.properties.ConfigurationProperties;import org.springframework.stereotype.Component;@Component@ConfigurationProperties("img-protect")public class ImgProtectConfig {    private boolean enabled;    private boolean allowBrowser;    private String allowReferer;    public boolean getEnabled() {        return enabled;    }    public void setEnabled(boolean enabled) {        this.enabled = enabled;    }    public boolean getAllowBrowser() {        return allowBrowser;    }    public void setAllowBrowser(boolean allowBrowser) {        this.allowBrowser = allowBrowser;    }    public String getAllowReferer() {        return allowReferer;    }    public void setAllowReferer(String allowReferer) {        this.allowReferer = allowReferer;    }}
2-3、创建拦截器类
vbnet 复制代码
import 上方2-2创建的类路径.ImgProtectConfig;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.stereotype.Component;import org.springframework.web.servlet.HandlerInterceptor;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import java.util.Arrays;import java.util.HashSet;import java.util.Set;@Componentpublic class ImageProtectionInterceptor implements HandlerInterceptor {    @Autowired    private ImgProtectConfig imgProtectConfig;    @Override    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {  // 判断是否开启图片防盗链功能        if (!imgProtectConfig.getEnabled()){            return true;        }                // 获取请求的 URL        String requestUrl = request.getRequestURL().toString();        // 判断请求是否以图片后缀结尾        if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || requestUrl.endsWith(".jpeg")) {            // 获取请求的来源域名            String referer = request.getHeader("Referer");            // 检查来源域名是否符合预期,referer 为 null 则说明是浏览器直接访问。            if (referer == null && imgProtectConfig.getAllowBrowser()){                return true; // 符合防盗链要求,放行请求            }else if (referer != null && isAllowedDomain(referer)) {                return true; // 符合防盗链要求,放行请求            } else {                response.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回 403 Forbidden                return false; // 拦截请求            }        }        return true; // 对非图片资源请求放行    }    // 检查是否来自允许的域名    private boolean isAllowedDomain(String referer) {        // 获取允许的域名        String allowedReferers = imgProtectConfig.getAllowReferer();        // 如果允许的域名不为空        if (allowedReferers.trim() != null && !"".equals(allowedReferers.trim())) {            // 将允许的域名分割成字符串数组            Set<String> allowedDomains = new HashSet<>(Arrays.asList(allowedReferers.split(",")));            // 遍历允许的域名            for (String allowedDomain : allowedDomains) {                // 如果请求的域名包含允许的域名,则返回true                if (referer.contains(allowedDomain.trim())) {                    return true;                }            }        }        // 否则返回false        return false;    }}
2-4、注册拦截器
ruby 复制代码
import org.springframework.context.annotation.Configuration;import org.springframework.web.servlet.config.annotation.InterceptorRegistry;import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;@Configurationpublic class WebConfig implements WebMvcConfigurer {  // 不能再使用 new 方式创建对象 !!!  @Autowired    private ImageProtectionInterceptor imageProtectionInterceptor;    @Override    public void addInterceptors(InterceptorRegistry registry) {        // 注册拦截器,拦截所有请求        registry.addInterceptor(imageProtectionInterceptor)                .addPathPatterns("/**"); // 拦截所有请求    }}

结束语

以上防盗链拦截器基本实现可以对付一般情况下的图片盗链,但并不能保证绝对安全。

可能出现以下等情况:

  • Referer 伪造: 恶意客户端可以伪造 referer 头。攻击者可以伪造有效的 referer 来绕过保护。

  • 漏报: 攻击者可能找到绕过 referer 检查的方法(例如使用 data URI 或 base64 编码的图片)。

  • 误报: 合法用户可能因为 referer 不匹配而被阻止(例如隐私浏览器或代理服务器)。

  • 反向代理: 攻击者可以在url路径中,添加域名白名单作为反向代理路径,绕开代码的contains方法检查。

相关推荐
张张张31218 分钟前
4.2学习总结 Java:list系列集合
java·学习
KATA~21 分钟前
解决MyBatis-Plus枚举映射错误:No enum constant问题
java·数据库·mybatis
xyliiiiiL36 分钟前
一文总结常见项目排查
java·服务器·数据库
shaoing38 分钟前
MySQL 错误 报错:Table ‘performance_schema.session_variables’ Doesn’t Exist
java·开发语言·数据库
腥臭腐朽的日子熠熠生辉1 小时前
解决maven失效问题(现象:maven中只有jdk的工具包,没有springboot的包)
java·spring boot·maven
ejinxian1 小时前
Spring AI Alibaba 快速开发生成式 Java AI 应用
java·人工智能·spring
杉之2 小时前
SpringBlade 数据库字段的自动填充
java·笔记·学习·spring·tomcat
圈圈编码2 小时前
Spring Task 定时任务
java·前端·spring
俏布斯2 小时前
算法日常记录
java·算法·leetcode
27669582922 小时前
美团民宿 mtgsig 小程序 mtgsig1.2 分析
java·python·小程序·美团·mtgsig·mtgsig1.2·美团民宿