图片403的问题

问题

当我们访问一个图片不是来源与我们的服务器时，并且对方图片服务器做了防盗链机制。
我们防卫图片就可能会变成403,不能正常访问。

防盗链原理

http协议中，从一个网页跳到另一个网页中，http头字段会带有Referer，图片服务器通过检测Referer是否来自规定域名，来进行防盗链。

破解防盗链

1.referer为空
若不发送Referer,也就没有来源，图片服务器就会认为是浏览器直接访问的，可以正常加载图片。

a:https访问http，如果盗用图片的网站是https，而图片链接是http的话，从https向http发送请求因为  

安全规定，而不带referer,实现绕过防盗链。

b:若开启隐私模式的浏览器，在https页面的引用下，referer是空的

c:设置请求头

    Nodejs:
res.writeHead(200, {
    'Content-Type': 'image/*'
});
let url = req.query.url;
if (!url) {
    res.send("");
    return false;
}
superagent.get(req.query.url)
    .set('Referer', '')
    .set("User-Agent",
        'User-Agent:Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.80 Safari/537.36 Core/1.47.933.400 QQBrowser/9.4.8699.400'
    )
    .end(function(err, result) {
        if (err) {
            //res.send(err);
            return false;
        }
        res.end(result.body);
        return;
    });

2.用iFrame伪造请求referer

function showImg( url ) {
        var frameid = 'frameimg' + Math.random();
        window.img = '<img id="img" src=\''+url+'?'+Math.random()+'\' /><script>window.onload = function() { parent.document.getElementById(\''+frameid+'\').height = document.getElementById(\'img\').height+\'px\'; }<'+'/script>';
        document.write('<iframe id="'+frameid+'" src="javascript:parent.img;" frameBorder="0" scrolling="no" width="100%"></iframe>');
}

3.meta标签控制referer

设置：<meta name="referrer" content="never"> 页面请求不会带上referer

防御防盗链

1.不允许referer为空 （不建议，因在某些开启隐私模式的浏览器中，或https页面引用下，referer是空的）
2、地址变更（lighttpd的是根据有效时间，nginx的根据是md5，IP地址变化）
　 3、登录校验（如必须登录网站帐号后才能访问）

防置网站被iframe

<script type=”text/javascript> 
if(window!=parent) 
window.top.location.href = window.location.href; 
< /script> 

Demo

var express = require('express'),
  path = require('path'),
  app = express();
  
var AntiLeech = require('express-anti-leech');

// 允许引用的域名白名单
var hosts = ['localhost', 'localhost:8004'];

// 反盗链类型
var exts = ['.png', '.jpg', '.jpeg', '.gif', '.swf', '.flv'];

// 盗链默认指向图片
var pictrue = "/images/default.png";

app.use(AntiLeech({
  allow: hosts,
  exts: exts,
  log: console.log, // 你也可以使用自己的方法来记录
  default: pictrue
}));

// 请在调用静态资源之前先使用反盗链模块
app.use(express.static(path.join(__dirname, 'public')));
app.set('port', process.env.PORT || 8004);

app.get('/', function(req, res) {
  res.redirect("/index.html");
});

app.listen(app.get('port'), function() {
  console.log("Express test server listening on http://localhost:" + app.get('port'));
});

nginx防盗链

location ~* \.(gif|jpg|png|bmp)$ {
  valid_referers none blocked *.xxx.com server_names ~\.google\. ~\.baidu\.;
  if ($invalid_referer) {
      return 403;
      #rewrite ^/ http://www.xxx.com/403.jpg;
  }
}