SpringBoot 实现图片防盗链功能

前言

出于安全考虑,我们需要后端返回的图片只允许在某个网站内展示,不想被爬虫拿到图片地址后被下载。或者,不想浏览器直接访问图片链接。

出于性能考虑,不想要别人的网站,拿着我们的图片链接去展示,白白消耗自己的服务器资源。

故而可在springboot中,使用简单的图片防盗链规则。拦截掉一些处理。

1、代码实现

本篇实战代码是简易版,代码写死配置

1-1、创建拦截器类
import org.springframework.web.servlet.HandlerInterceptor;
import org.springframework.web.servlet.ModelAndView;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class ImageProtectionInterceptor implements HandlerInterceptor {

    private static final String ALLOWED_DOMAIN = "baidudu.com"; // 允许的域名

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 获取请求的 URL
        String requestUrl = request.getRequestURL().toString();

        // 判断请求是否以图片后缀结尾
        if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || requestUrl.endsWith(".jpeg")) {
            // 获取请求的来源域名
            String referer = request.getHeader("Referer");

            // 检查来源域名是否符合预期
            if (referer != null && referer.contains(ALLOWED_DOMAIN)) {
                return true; // 符合防盗链要求,放行请求
            } else {
                response.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回 403 Forbidden
                return false; // 拦截请求
            }
        }

        return true; // 对非图片资源请求放行
    }
}
1-2、注册拦截器
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 注册拦截器,拦截所有请求
        registry.addInterceptor(new ImageProtectionInterceptor())
                .addPathPatterns("/**"); // 拦截所有请求
    }
}

2、代码实现(灵活配置)

2-1、在 application.yml 中配置信息
# 图片防盗链配置
img-protect:
  # 图片防盗链保护开关
  enabled: true
  # 是否允许浏览器直接访问
  allowBrowser: false
  # 图片防盗链白名单,多个用逗号分隔【不填则所有网站都拦截】
  allowReferer: baidudu.com
2-2、创建配置文件映射类
import org.springframework.boot.context.properties.ConfigurationProperties;
import org.springframework.stereotype.Component;

@Component
@ConfigurationProperties("img-protect")
public class ImgProtectConfig {

    private boolean enabled;
    private boolean allowBrowser;

    private String allowReferer;

    public boolean getEnabled() {
        return enabled;
    }

    public void setEnabled(boolean enabled) {
        this.enabled = enabled;
    }

    public boolean getAllowBrowser() {
        return allowBrowser;
    }

    public void setAllowBrowser(boolean allowBrowser) {
        this.allowBrowser = allowBrowser;
    }

    public String getAllowReferer() {
        return allowReferer;
    }

    public void setAllowReferer(String allowReferer) {
        this.allowReferer = allowReferer;
    }
}
2-3、创建拦截器类
import 上方2-2创建的类路径.ImgProtectConfig;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerInterceptor;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Arrays;
import java.util.HashSet;
import java.util.Set;

@Component
public class ImageProtectionInterceptor implements HandlerInterceptor {

    @Autowired
    private ImgProtectConfig imgProtectConfig;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {

  // 判断是否开启图片防盗链功能
        if (!imgProtectConfig.getEnabled()){
            return true;
        }
        
        // 获取请求的 URL
        String requestUrl = request.getRequestURL().toString();

        // 判断请求是否以图片后缀结尾
        if (requestUrl.endsWith(".jpg") || requestUrl.endsWith(".png") || requestUrl.endsWith(".jpeg")) {
            // 获取请求的来源域名
            String referer = request.getHeader("Referer");

            // 检查来源域名是否符合预期,referer 为 null 则说明是浏览器直接访问。
            if (referer == null && imgProtectConfig.getAllowBrowser()){
                return true; // 符合防盗链要求,放行请求
            }else if (referer != null && isAllowedDomain(referer)) {
                return true; // 符合防盗链要求,放行请求
            } else {
                response.sendError(HttpServletResponse.SC_FORBIDDEN); // 返回 403 Forbidden
                return false; // 拦截请求
            }
        }

        return true; // 对非图片资源请求放行
    }


    // 检查是否来自允许的域名
    private boolean isAllowedDomain(String referer) {
        // 获取允许的域名
        String allowedReferers = imgProtectConfig.getAllowReferer();
        // 如果允许的域名不为空
        if (allowedReferers.trim() != null && !"".equals(allowedReferers.trim())) {
            // 将允许的域名分割成字符串数组
            Set<String> allowedDomains = new HashSet<>(Arrays.asList(allowedReferers.split(",")));
            // 遍历允许的域名
            for (String allowedDomain : allowedDomains) {
                // 如果请求的域名包含允许的域名,则返回true
                if (referer.contains(allowedDomain.trim())) {
                    return true;
                }
            }
        }
        // 否则返回false
        return false;
    }

}
2-4、注册拦截器
import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class WebConfig implements WebMvcConfigurer {
 

 // 不能再使用 new 方式创建对象 !!! 
 @Autowired
    private ImageProtectionInterceptor imageProtectionInterceptor;


    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // 注册拦截器,拦截所有请求
        registry.addInterceptor(imageProtectionInterceptor)
                .addPathPatterns("/**"); // 拦截所有请求
    }
}

结束语

以上防盗链拦截器基本实现可以对付一般情况下的图片盗链,但并不能保证绝对安全。

可能出现以下等情况:

  • Referer 伪造: 恶意客户端可以伪造 referer 头。攻击者可以伪造有效的 referer 来绕过保护。

  • 漏报: 攻击者可能找到绕过 referer 检查的方法(例如使用 data URI 或 base64 编码的图片)。

  • 误报: 合法用户可能因为 referer 不匹配而被阻止(例如隐私浏览器或代理服务器)。

  • 反向代理: 攻击者可以在url路径中,添加域名白名单作为反向代理路径,绕开代码的contains方法检查。

相关推荐
drebander3 分钟前
使用 Java Stream 优雅实现List 转化为Map<key,Map<key,value>>
java·python·list
乌啼霜满天2496 分钟前
Spring 与 Spring MVC 与 Spring Boot三者之间的区别与联系
java·spring boot·spring·mvc
tangliang_cn11 分钟前
java入门 自定义springboot starter
java·开发语言·spring boot
程序猿阿伟12 分钟前
《智能指针频繁创建销毁:程序性能的“隐形杀手”》
java·开发语言·前端
Grey_fantasy22 分钟前
高级编程之结构化代码
java·spring boot·spring cloud
新知图书23 分钟前
Rust编程与项目实战-模块std::thread(之一)
开发语言·后端·rust
弗锐土豆29 分钟前
工业生产安全-安全帽第二篇-用java语言看看opencv实现的目标检测使用过程
java·opencv·安全·检测·面部
Elaine20239129 分钟前
零碎04 MybatisPlus自定义模版生成代码
java·spring·mybatis
盛夏绽放44 分钟前
Node.js 和 Socket.IO 实现实时通信
前端·后端·websocket·node.js
小小大侠客1 小时前
IText创建加盖公章的pdf文件并生成压缩文件
java·pdf·itext