Java设置Referer防盗链技巧分享
2025-07-19 23:44:41
0浏览
收藏
本篇文章主要是结合我之前面试的各种经历和实战开发中遇到的问题解决经验整理的,希望这篇《Java设置Referer防盗链方法详解》对你有很大帮助!欢迎收藏,分享给更多的需要的朋友学习~
要防止盗链,可以通过验证请求头中的 Referer 字段来实现;1. 在 Java 中可通过 Servlet 或 Filter 实现防盗链逻辑,在 Servlet 中获取 Referer 并判断是否符合预期来源,若不符合则返回 403 错误;2. 使用 Filter 可在请求进入业务逻辑前统一拦截处理,适用于更通用的防盗链场景,并支持从配置文件中读取允许的 Referer;3. 更严格的验证方式包括使用白名单和完整匹配 Referer 值以提高安全性;4. 对于 Referer 为空的情况,可根据业务策略选择允许访问、拒绝访问或提供降级方案如身份验证;5. 结合 Spring Security 可创建自定义 RefererFilter 并集成到安全配置中,实现灵活且可配置的安全策略。
直接设置 Referer 来防止盗链,本质上就是在服务器端验证请求头中的 Referer 字段。如果 Referer 不符合你的预期,就拒绝服务。Java 中实现这个并不复杂,但需要根据你的具体应用场景来细化。
解决方案
核心思路是在你的 Servlet 或 Filter 中拦截请求,然后检查 request.getHeader("Referer") 的值。
1. 使用 Servlet 实现
创建一个 Servlet,并在 doGet 或 doPost 方法中进行 Referer 检查。
import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
@WebServlet("/protectedResource")
public class ProtectedResourceServlet extends HttpServlet {
private static final long serialVersionUID = 1L;
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String referer = request.getHeader("Referer");
// 允许的来源
String allowedReferer = "http://www.example.com";
if (referer != null && referer.startsWith(allowedReferer)) {
// 允许访问,返回资源
response.getWriter().println("<h1>Welcome! This is your protected resource.</h1>");
} else {
// 拒绝访问
response.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Invalid Referer.");
}
}
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
doGet(request, response);
}
}这段代码首先获取 Referer,然后检查它是否以 http://www.example.com 开头。如果是,就返回资源;否则,返回 403 错误。
2. 使用 Filter 实现
Filter 可以在 Servlet 之前拦截请求,实现更通用的防盗链逻辑。
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
@WebFilter("/*") // 拦截所有请求
public class RefererFilter implements Filter {
private String allowedReferer;
public void init(FilterConfig fConfig) throws ServletException {
allowedReferer = "http://www.example.com"; // 从配置文件读取
}
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
HttpServletRequest httpRequest = (HttpServletRequest) request;
HttpServletResponse httpResponse = (HttpServletResponse) response;
String referer = httpRequest.getHeader("Referer");
if (referer != null && referer.startsWith(allowedReferer)) {
chain.doFilter(request, response); // 继续处理请求
} else {
httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Invalid Referer.");
}
}
public void destroy() {
// cleanup
}
}Filter 的好处是可以配置拦截的 URL 模式,例如拦截所有请求("/*")或特定的目录。allowedReferer 可以从 web.xml 或其他配置文件中读取,更灵活。
3. 更严格的 Referer 验证
仅仅检查 Referer 是否以某个字符串开头可能不够安全,因为攻击者可以伪造 Referer。可以考虑:
- 白名单: 维护一个允许的 Referer 列表,只允许列表中的 Referer 访问。
- Referer 完整匹配: 要求 Referer 必须完全匹配某个值。
4. 处理 Referer 为空的情况
有些浏览器或用户可能会禁用 Referer 发送。你需要决定如何处理这种情况。是允许访问,还是拒绝?
if (referer == null || referer.isEmpty()) {
// Referer 为空时的处理逻辑
// 可以选择允许访问,或者拒绝访问
// 例如:
// chain.doFilter(request, response); // 允许
// 或者
// httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Referer is missing."); // 拒绝
}注意事项:
- Referer 可伪造: 这种方法并不能完全防止盗链,因为 Referer 可以被伪造。更可靠的防盗链方法包括使用签名 URL 或 token。
- HTTPS: 确保你的网站使用 HTTPS,以防止 Referer 在传输过程中被篡改。
如何处理 Referer 为空的情况,以及没有 Referer 的请求?
处理 Referer 为空的情况需要根据你的业务逻辑和安全策略来决定。没有 Referer 的请求可能是用户直接在浏览器地址栏输入 URL,也可能是通过某些工具或设置禁用了 Referer 发送。
策略选择:
- 允许访问: 如果你的资源对所有人开放,或者你认为 Referer 防盗链只是一个辅助手段,那么可以允许 Referer 为空的请求访问。
- 拒绝访问: 如果你非常重视防盗链,并且认为没有 Referer 的请求可能是恶意访问,那么可以拒绝这些请求。
- 提供降级方案: 可以考虑提供一种降级方案,例如要求用户进行身份验证,或者显示一个验证码。
实现方式:
在你的 Servlet 或 Filter 中,添加对 Referer 为空的判断。
String referer = request.getHeader("Referer");
if (referer == null || referer.isEmpty()) {
// Referer 为空
// 策略 1:允许访问
// chain.doFilter(request, response);
// 策略 2:拒绝访问
// httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Referer is missing.");
// 策略 3:提供降级方案
// response.sendRedirect("/login"); // 跳转到登录页面
// 或者
// response.getWriter().println("Please enable Referer in your browser settings.");
} else {
// Referer 不为空,进行正常的防盗链检查
if (referer.startsWith(allowedReferer)) {
chain.doFilter(request, response);
} else {
httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Invalid Referer.");
}
}示例:允许 Referer 为空的请求访问
String referer = request.getHeader("Referer");
if (referer == null || referer.isEmpty()) {
// 允许 Referer 为空的请求访问
chain.doFilter(request, response);
} else {
// Referer 不为空,进行正常的防盗链检查
if (referer.startsWith(allowedReferer)) {
chain.doFilter(request, response);
} else {
httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Invalid Referer.");
}
}示例:拒绝 Referer 为空的请求访问
String referer = request.getHeader("Referer");
if (referer == null || referer.isEmpty()) {
// 拒绝 Referer 为空的请求访问
httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Referer is missing.");
} else {
// Referer 不为空,进行正常的防盗链检查
if (referer.startsWith(allowedReferer)) {
chain.doFilter(request, response);
} else {
httpResponse.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Invalid Referer.");
}
}最佳实践:
- 用户体验: 在拒绝访问时,提供友好的提示信息,告诉用户为什么无法访问,以及如何解决问题。
- 日志记录: 记录 Referer 为空的请求,以便分析和排查问题。
- 可配置性: 将处理 Referer 为空策略配置化,方便根据实际情况进行调整。
如何结合 Spring Security 使用 Referer 防盗链?
Spring Security 提供了强大的安全控制功能,可以与 Referer 防盗链结合使用,实现更灵活和可配置的安全策略。
1. 创建自定义 Filter
首先,创建一个自定义的 Filter,用于检查 Referer。这个 Filter 需要继承 OncePerRequestFilter,确保每个请求只被执行一次。
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.web.filter.OncePerRequestFilter;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Arrays;
import java.util.HashSet;
import java.util.Set;
public class RefererFilter extends OncePerRequestFilter {
private final Set<String> allowedReferers = new HashSet<>();
private final AntPathRequestMatcher requestMatcher;
public RefererFilter(String[] allowedReferers, String path) {
this.allowedReferers.addAll(Arrays.asList(allowedReferers));
this.requestMatcher = new AntPathRequestMatcher(path);
}
@Override
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
if (!requestMatcher.matches(request)) {
filterChain.doFilter(request, response);
return;
}
String referer = request.getHeader("Referer");
if (referer != null && allowedReferers.stream().anyMatch(referer::startsWith)) {
filterChain.doFilter(request, response);
} else {
response.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied. Invalid Referer.");
}
}
}在这个 Filter 中,allowedReferers 是允许的 Referer 列表,requestMatcher 用于匹配需要进行 Referer 检查的 URL。
2. 配置 Spring Security
在 Spring Security 的配置类中,将自定义的 Filter 添加到 Filter Chain 中。
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public RefererFilter refererFilter() {
String[] allowedReferers = {"http://www.example.com", "https://www.example.com"};
return new RefererFilter(allowedReferers, "/protected/**"); // 对 /protected/** 下的资源进行 Referer 检查
}
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests(authz -> authz
.requestMatchers("/public/**").permitAll() // 允许访问 /public/** 下的资源
.anyRequest().authenticated() // 其他请求需要认证
)
.addFilterBefore(refererFilter(), UsernamePasswordAuthenticationFilter.class); // 在 UsernamePasswordAuthenticationFilter 之前添加 RefererFilter
return http.build();
}
}在这个配置中,refererFilter() 方法创建了一个 RefererFilter 实例,并设置了允许的 Referer 列表和需要进行 Referer 检查的 URL 模式。addFilterBefore() 方法将 RefererFilter 添加到 Filter Chain 中,确保它在 UsernamePasswordAuthenticationFilter 之前执行。
3. 配置允许的 Referer
可以将允许的 Referer 列表配置在 application.properties 或 application.yml 文件中,方便修改和管理。
allowed.referers=http://www.example.com,https://www.example.com
然后在 RefererFilter 中读取这些配置。
4. 处理异常情况
可以自定义一个 AuthenticationEntryPoint,用于处理 Referer 验证失败的情况,例如跳转到错误页面或返回特定的错误信息。
优点:
- 集中管理: Spring Security 提供了集中的安全配置管理,方便维护和扩展。
- 灵活性: 可以根据不同的 URL 模式配置不同的 Referer 检查策略。
- 可配置性: 可以将允许的 Referer 列表配置在配置文件中,方便修改和管理。
- 与其他安全功能集成: 可以与其他 Spring Security 的安全功能(例如认证、授权)集成使用,实现更全面的安全保护。
注意事项:
- Filter 顺序: 确保
RefererFilter在其他需要 Referer 信息的 Filter 之前执行。 - 配置正确性: 确保 Spring Security 的配置正确,避免出现意外的安全漏洞。
- 测试: 对 Referer 防盗链功能进行充分的测试,确保其能够正常工作。
通过结合 Spring Security 使用 Referer 防盗链,可以实现更灵活、可配置和安全的安全策略。
今天关于《Java设置Referer防盗链技巧分享》的内容介绍就到此结束,如果有什么疑问或者建议,可以在golang学习网公众号下多多回复交流;文中若有不正之处,也希望回复留言以告知!
Golang单例模式:sync.Once线程安全解析
- 上一篇
- Golang单例模式:sync.Once线程安全解析
- 下一篇
- Golang缓存优化技巧解析
查看更多
最新文章
-
- 文章 · java教程 | 7小时前 | java 使用 elasticsearch 连接 resthighlevelclient
- Java连接ES教程:RestHighLevelClient使用指南
- 427浏览 收藏
-
- 文章 · java教程 | 7小时前 | 线程池 线程安全 Java线程 Runnable接口 Thread类
- Java线程创建方法与实例解析
- 278浏览 收藏
-
- 文章 · java教程 | 7小时前 |
- Java分布式事务最终一致性解决方案
- 339浏览 收藏
-
- 文章 · java教程 | 7小时前 |
- SpringBoot异常处理技巧与方法
- 407浏览 收藏
-
- 文章 · java教程 | 7小时前 |
- Java环境变量配置详解
- 406浏览 收藏
-
- 文章 · java教程 | 7小时前 | 性能优化 VisualVM jstack ThreadMXBean 线程状态监控
- Java线程监控与性能优化技巧
- 176浏览 收藏
-
- 文章 · java教程 | 8小时前 |
- Java类是什么?全面解析类的定义与结构
- 463浏览 收藏
-
- 文章 · java教程 | 8小时前 |
- JVM堆内存溢出解决与优化技巧
- 398浏览 收藏
-
- 文章 · java教程 | 8小时前 |
- SpringBoot整合阿里云OSS上传指南
- 313浏览 收藏
查看更多
课程推荐
-
- 前端进阶之JavaScript设计模式
- 设计模式是开发人员在软件开发过程中面临一般问题时的解决方案,代表了最佳的实践。本课程的主打内容包括JS常见设计模式以及具体应用场景,打造一站式知识长龙服务,适合有JS基础的同学学习。
- 542次学习
-
- GO语言核心编程课程
- 本课程采用真实案例,全面具体可落地,从理论到实践,一步一步将GO核心编程技术、编程思想、底层实现融会贯通,使学习者贴近时代脉搏,做IT互联网时代的弄潮儿。
- 511次学习
-
- 简单聊聊mysql8与网络通信
- 如有问题加微信:Le-studyg;在课程中,我们将首先介绍MySQL8的新特性,包括性能优化、安全增强、新数据类型等,帮助学生快速熟悉MySQL8的最新功能。接着,我们将深入解析MySQL的网络通信机制,包括协议、连接管理、数据传输等,让
- 498次学习
-
- JavaScript正则表达式基础与实战
- 在任何一门编程语言中,正则表达式,都是一项重要的知识,它提供了高效的字符串匹配与捕获机制,可以极大的简化程序设计。
- 487次学习
-
- 从零制作响应式网站—Grid布局
- 本系列教程将展示从零制作一个假想的网络科技公司官网,分为导航,轮播,关于我们,成功案例,服务流程,团队介绍,数据部分,公司动态,底部信息等内容区块。网站整体采用CSSGrid布局,支持响应式,有流畅过渡和展现动画。
- 484次学习
查看更多
AI推荐
-
- 扣子-Space(扣子空间)
- 深入了解字节跳动推出的通用型AI Agent平台——扣子空间(Coze Space)。探索其双模式协作、强大的任务自动化、丰富的插件集成及豆包1.5模型技术支撑,覆盖办公、学习、生活等多元应用场景,提升您的AI协作效率。
- 2次使用
-
- 蛙蛙写作
- 蛙蛙写作是一款国内领先的AI写作助手,专为内容创作者设计,提供续写、润色、扩写、改写等服务,覆盖小说创作、学术教育、自媒体营销、办公文档等多种场景。
- 10次使用
-
- CodeWhisperer
- Amazon CodeWhisperer,一款AI代码生成工具,助您高效编写代码。支持多种语言和IDE,提供智能代码建议、安全扫描,加速开发流程。
- 23次使用
-
- 畅图AI
- 探索畅图AI:领先的AI原生图表工具,告别绘图门槛。AI智能生成思维导图、流程图等多种图表,支持多模态解析、智能转换与高效团队协作。免费试用,提升效率!
- 51次使用
-
- TextIn智能文字识别平台
- TextIn智能文字识别平台,提供OCR、文档解析及NLP技术,实现文档采集、分类、信息抽取及智能审核全流程自动化。降低90%人工审核成本,提升企业效率。
- 57次使用
查看更多
相关文章
-
- 提升Java功能开发效率的有力工具:微服务架构
- 2023-10-06 501浏览
-
- 掌握Java海康SDK二次开发的必备技巧
- 2023-10-01 501浏览
-
- 如何使用java实现桶排序算法
- 2023-10-03 501浏览
-
- Java开发实战经验:如何优化开发逻辑
- 2023-10-31 501浏览
-
- 如何使用Java中的Math.max()方法比较两个数的大小?
- 2023-11-18 501浏览
