使用php伪造referer的方法 利用referer防止图片盗链


Posted in PHP onJanuary 20, 2014

什么是HTTP Referer
简言之,HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理。比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站。
Referer其实应该是英文单词Referrer,不过拼错的人太多了,所以编写标准的人也就将错就错了。
我的问题
我刚刚把feed阅读器改变为Gregarius,但他不像我以前用的liferea,访问新浪博客的时候,无法显示其中的图片,提示“此图片仅限于新浪博客用户交流与沟通”,我知道,这就是HTTP Referer导致的。
由于我上网客户端配置的特殊性,首先怀疑是squid的问题,但通过实验排除了,不过同时发现了一个Squid和Tor、Privoxy协同使用的隐私泄露问题,留待以后研究。
Gregarius能处理这个问题么?
答案是否定的,因为Gregarius只是负责输出html代码,而对图像的访问是有客户端浏览器向服务器请求的。
不过,安装个firefox扩展也许能解决问题,文中推荐的”Send Referrer”我没有找到,但发现另外一个可用的:”RefControl“,可以根据访问网站的不同,控制使用不同的Referer。
但是我不喜欢用Firefox扩展来解决问题,因为我觉得他效率太低,所以我用更好的方式——Privoxy。
Privoxy真棒
在Privoxy的default.action中添加两行:
{+hide-referrer{forge}}
.album.sina.com.cn
这样Gregarius中新浪博客的图片就出来了吧?+hide-referrer是Privoxy的一个过滤器,设置访问时对HTTP Referer的处理方式,后面的forge代表用访问地址当作Refere的,还可以换成block,代表取消Referer,或者直接把需要用的Referer网址写在这里。
用Privoxy比用Firefox简单的多,赶紧换吧。
From https to http
我还发现,从一个https页面上的链接访问到一个非加密的http页面的时候,在http页面上是检查不到HTTP Referer的,比如当我点击自己的https页面下面的w3c xhtml验证图标(网址为http://validator.w3.org/check?uri=referer),从来都无法完成校验,提示:
No Referer header found!
原来,在http协议的rfc文档中有定义:

15.1.3 Encoding Sensitive Information in URI's
Clients SHOULD NOT include a Referer header field in a (non-secure)
HTTP request if the referring page was transferred with a secure
protocol.

这样是出于安全的考虑,访问非加密页时,如果来源是加密页,客户端不发送Referer,IE一直都是这样实现的,Firefox浏览器也不例外。但这并不影响从加密页到加密页的访问。
Firefox中关于Referer的设置
都在里,有两个键值:
network.http.sendRefererHeader (default=2) 设置Referer的发送方式,0为完全不发送,1为只在点击链接时发送,在访问页面中的图像什么的时候不发送,2为始终发送。参见Privacy Tip #3: Block Referer Headers in Firefox
network.http.sendSecureXSiteReferrer (default=true) 设置从一个加密页访问到另外一个加密页的时候是否发送Referer,true为发送,false为不发送。

利用Referer防止图片盗链

虽然Referer并不可靠,但用来防止图片盗链还是足够的,毕竟不是每个人都会修改客户端的配置。实现一般都是通过apache的配置文件,首先设置允许访问的地址,标记下来:
# 只允许来自don.com的访问,图片可能就放置在don.com网站的页面上
SetEnvIfNoCase Referer "^http://www.don.com/" local_ref
# 直接通过地址访问
SetEnvIf Referer "^$" local_ref
然后再规定被标记了的访问才被允许:

<FilesMatch ".(gif|jpg)">
Order Allow,Deny
Allow from env=local_ref
</FilesMatch>

或者

<Directory /web/images>
   Order Deny,Allow
   Deny from all
   Allow from env=local_ref
</Directory>

不要使用Rerferer的地方

不要把Rerferer用在身份验证或者其他非常重要的检查上,因为Rerferer非常容易在客户端被改变,不管是通过上面介绍的Firefox扩展,或者是Privoxy,甚至是libcurl的调用,所以Rerferer数据非常之不可信。
如果你想限制用户必须从某个入口页面访问的话,与其使用Referer,不如使用session,在入口页面写入session,然后在其他页面检查,如果用户没有访问过入口页面,那么对应的session就不存在,参见这里的讨论。不过和上面说的一样,也不要过于相信这种方式的“验证”结果。
个人感觉现在Rerferer除了用在防盗链,其他用途最多的就是访问统计,比如统计用户都是从哪里的链接访问过来的等等。

使用php伪造referer的方法 利用referer防止图片盗链

HTTP-REFERER这个变量已经越来越不可靠了,完全就是可以伪造出来的东东。
以下是伪造方法:

PHP(前提是装了curl):

$ch = curl_init();
curl_setopt ($ch, CURLOPT_URL, "http://www.d.cn/xxx.asp");
curl_setopt ($ch, CURLOPT_REFERER, "http://www.d.cn/");
curl_exec ($ch);
curl_close ($ch);PHP(不装curl用sock)
$server = 'www.dc9.cn';
$host = 'www.dc9.cn';
$target = '/xxx.asp';
$referer = 'http://www.d.cn/'; // Referer
$port = 80;
$fp = fsockopen($server, $port, $errno, $errstr, 30);
if (!$fp) 
{
echo "$errstr ($errno)<br />\n";
} 
else 
{
$out = "GET $target HTTP/1.1\r\n";
$out .= "Host: $host\r\n";
$out .= "Cookie: ASPSESSIONIDSQTBQSDA=DFCAPKLBBFICDAFMHNKIGKEG\r\n";
$out .= "Referer: $referer\r\n";
$out .= "Connection: Close\r\n\r\n";
fwrite($fp, $out);
while (!feof($fp)) 
{
echo fgets($fp, 128);
}
fclose($fp);
}

javascript
xmlHttp.setRequestHeader("Referer", "http://URL");//   呵呵~假的~

JS不支持^_^

原理都是sock构造http头来senddata。其他语言什么的比如perl也可以,
目前比较简单的防御伪造referer的方法是用验证码(Session)。
现在有一些能防盗链软件的商业公司比如UUDOG,linkgate,VirtualWall什么的,都是开发的应用于IIS上面的dll。
有的是采用cookies验证、线程控制,有的是能随机生成文件名然后做URL重写。有的方法能的确达到不错的效果.
不过道高一尺,魔高一丈,这些雕虫小技终归是有破解方法的。
一般的就是这样的了,但是服务器就不好实现伪造,只能制造不多的数据了,如果可以实现访问网页就可以伪造,那就可以实现了真正的伪造,实现自然IP分布。

PHP 相关文章推荐
一周学会PHP(视频)Http下载
Dec 12 PHP
我的php学习笔记(毕业设计)
Feb 21 PHP
PHP.ini中配置屏蔽错误信息显示和保存错误日志的例子
May 12 PHP
PHP 二维数组根据某个字段排序的具体实现
Jun 03 PHP
用PHP解决的一个栈的面试题
Jul 02 PHP
php利用反射实现插件机制的方法
Mar 14 PHP
php+ajax+json 详解及实例代码
Dec 12 PHP
PHP判断是否是微信打开,浏览器打开的方法
Mar 14 PHP
golang实现php里的serialize()和unserialize()序列和反序列方法详解
Oct 30 PHP
PHP如何防止XSS攻击与XSS攻击原理的讲解
Mar 22 PHP
php获取微信openid方法总结
Oct 10 PHP
PHP 图片合成、仿微信群头像的方法示例
Oct 25 PHP
php fsockopen解决办法 php实现多线程
Jan 20 #PHP
linux系统下php安装mbstring扩展的二种方法
Jan 20 #PHP
php共享内存段示例分享
Jan 20 #PHP
php使用base64加密解密图片示例分享
Jan 20 #PHP
用Zend Studio+PHPnow+Zend Debugger搭建PHP服务器调试环境步骤
Jan 19 #PHP
php实现可以设置中奖概率的抽奖程序代码分享
Jan 19 #PHP
php根据身份证号码计算年龄的实例代码
Jan 18 #PHP
You might like
跟我学Laravel之视图 &amp; Response
2014/10/15 PHP
PHP防止注入攻击实例分析
2014/11/03 PHP
PHP使用星号替代用户名手机和邮箱的实现代码
2018/02/07 PHP
Z-Blog中用到的js代码
2007/03/15 Javascript
JavaScript操纵窗口的方法小结
2013/06/28 Javascript
jQuery在iframe中无法弹出对话框的解决方法
2014/01/12 Javascript
javascript使用smipleChart实现简单图表
2015/01/02 Javascript
常用的JQuery函数及功能小结
2016/03/24 Javascript
关于iframe跨域POST提交的方法示例
2017/01/15 Javascript
vue-dialog的弹出层组件
2020/05/25 Javascript
jQuery+PHP+Mysql实现抽奖程序
2020/04/12 jQuery
BootStrap 获得轮播中的索引和当前活动的焦点对象
2017/05/11 Javascript
nodejs socket实现的服务端和客户端功能示例
2017/06/02 NodeJs
详解基于Vue-cli搭建的项目如何和后台交互
2018/06/29 Javascript
详解关于webpack多入口热加载很慢的原因
2019/04/24 Javascript
快速搭建Node.js(Express)用户注册、登录以及授权的方法
2019/05/09 Javascript
js实现全选和全不选
2020/07/28 Javascript
Python下载网络小说实例代码
2018/02/03 Python
PyQt 实现使窗口中的元素跟随窗口大小的变化而变化
2019/06/18 Python
基于django传递数据到后端的例子
2019/08/16 Python
django 数据库连接模块解析及简单长连接改造方法
2019/08/29 Python
Linux下通过python获取本机ip方法示例
2019/09/06 Python
pytest中文文档之编写断言
2019/09/12 Python
python统计指定目录内文件的代码行数
2019/09/19 Python
Django ModelForm组件原理及用法详解
2020/10/12 Python
html5指南-3.如何实现html元素拖拽功能
2013/01/07 HTML / CSS
HTML5手指下滑弹出负一屏阻止移动端浏览器内置下拉刷新功能的实现代码
2020/04/10 HTML / CSS
英国女性运动服品牌:Sweaty Betty
2018/11/08 全球购物
一份软件工程师的面试试题
2016/02/01 面试题
毕业生自荐书
2013/12/18 职场文书
机械设备与数控技术专业求职信
2014/08/10 职场文书
乡镇党的群众路线对照检查材料
2014/09/24 职场文书
优秀大学生事迹材料
2014/12/24 职场文书
教师年终个人总结
2015/02/11 职场文书
2015年创先争优工作总结
2015/05/23 职场文书
MySQL数据库10秒内插入百万条数据的实现
2021/11/01 MySQL