Asp.Net Core 通过中间件防止图片盗链的实例

更新时间：2016年12月02日 13:14:43 作者：YOYOFx

本篇文章主要介绍了Asp.Net Core 通过中间件防止图片盗链的实例，具有一定的参考价值，有兴趣的可以了解一下。

一、原理

要实现防盗链，我们就必须先理解盗链的实现原理，提到防盗链的实现原理就不得不从HTTP协议说起，在HTTP协议中，有一个表头字段叫referer，采用URL的格式来表示从哪儿链接到当前的网页或文件。换句话说，通过referer，网站可以检测目标网页访问的来源网页，如果是资源文件，则可以跟踪到显示它的网页地址。有了referer跟踪来源就好办了，这时就可以通过技术手段来进行处理，一旦检测到来源不是本站即进行阻止或者返回指定的页面。如果想对自己的网站进行防盗链保护，则需要针对不同的情况进行区别对待。

如果网站服务器用的是apache，那么使用apache自带的Url Rewrite功能可以很轻松地防止各种盗链，其原理也是检查refer，如果refer的信息来自其他网站则重定向到指定图片或网页上。

如果服务器使用的是IIS的话，则需要通过第三方插件来实现防盗链功能了，现在比较常用的一款产品叫做ISAPI_Rewrite，可以实现类似于apache的防盗链功能。另外对于论坛来说还可以使用“登录验证”的方法进行防盗链。

二、实现防盗链

现在让我们在ASP.NET Core中实现防盗链技术来保护我们的应用程序和站点文件。这就要通过ASP.NET Core中的中间件技术，监听并处理所有传入的请求，检查这些请求是不是来自我们的应用程序。

让我们来创建这个防盗链的中间件程序：

public class HotlinkingPreventionMiddleware
{
  private readonly string _wwwrootFolder;
  private readonly RequestDelegate _next;

  public HotlinkingPreventionMiddleware(RequestDelegate next, IHostingEnvironment env)
  {
    _wwwrootFolder = envWebRootPath;
    _next = next;
  }

  public async Task Invoke(HttpContext context)
  {
    var applicationUrl = $"{contextRequestScheme}://{contextRequestHostValue}";
    var headersDictionary = contextRequestHeaders;
    var urlReferrer = headersDictionary[HeaderNamesReferer]ToString();

    if(!stringIsNullOrEmpty(urlReferrer) && !urlReferrerStartsWith(applicationUrl))
    {
      var unauthorizedImagePath = PathCombine(_wwwrootFolder,"Images/Unauthorizedpng");
        
      await contextResponseSendFileAsync(unauthorizedImagePath);
    }
      
    await _next(context);
  }
}

在这个中间件中我们可以看到ASP.NET Core中的Request对象并没有对Referrer进行封装，想获取Referrer，就要通过HTTP头信息（Headers）进行访问。

一般都要有一个IApplicationBuilder扩展：

public static class BuilderExtensions
{
  public static IApplicationBuilder UseHotlinkingPreventionMiddleware(this IApplicationBuilder app)
  {
    return appUseMiddleware();
  }
}

最后，使用它只需要在Configure函数中调用，上面的扩展函数。

app.UseHotlinkingPreventionMiddleware();

三、真能防？

如何突破防盗链？针对检查refer的方式，可以在页面中间件里面先进入目的地址的另外一个页面在转到目的页面即可，这样页面的refer就是目的站点自己的，如此，即做到突破。这方面可以使用的工具很多，尤其是成熟的web项目测试包，如HtmlUnit，直接在请求中设置refer都是可以的。

如果盗用网站是 https 的 protocol，而图片链接是 http 的话，则从 https 向 http 发起的请求会因为安全性的规定，而不带 referer，从而实现防盗链的绕过。

最后，我只能说这种方式，只能在一定程度上进行防御，不可能杜绝所有的攻击，还是建议使用成熟服务器应用的方案，比如Nginx。

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

asp.net core mvc实现伪静态功能
这篇文章主要为大家详细介绍了asp.net core mvc实现伪静态功能的相关资料，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2017-02-02
ASP.NET MVC学习笔记
ASP.NET MVC 1.0发布有段儿时间了，刚发布不久的时候试用了一下，做了一个简单的BBS，现在总结一些经验和小技巧和大家分享。
2009-10-10
Entity Framework Core中执行SQL语句和存储过程的方法介绍
这篇文章介绍了Entity Framework Core中执行SQL语句和存储过程的方法，文中通过示例代码介绍的非常详细。对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2022-02-02
.NET Core创建一个控制台（Console）程序
这篇文章主要为大家详细介绍了.NET Core如何创建一个控制台程序，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
2017-04-04
浅谈.Net中的序列化和反序列化
这篇文章主要介绍了.Net中的序列化和反序列化的相关资料,文中讲解非常细致，代码帮助大家更好的理解和学习，感兴趣的朋友可以了解下
2020-07-07
ASP.NET泛型一之泛型简介与基本语法
这篇文章介绍了ASP.NET泛型的简介与基本语法，文中通过示例代码介绍的非常详细。对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2022-08-08
asp.net运行原理详解
当我们通过浏览器向ASP.NET 2.0网站的一个asp.net页面发起请求时，在服务器端首先是IIS收到请求，IIS一看是asp.net页面，心里很开心，因为这个请求不用它处理，交给ASP.NET ISAPI就行了
2012-04-04
Asp.net TreeView来构建用户选择输入的方法推荐
选择优于输入，这是一般人的共识，面对繁多的数据，提供良好的选择界面，一方面增强用户的界面体验，一方面也提高了数据的准确性，更节省了用户的宝贵时间。
2009-12-12
c# static的全部用法收集整理
c# static的全部用法收集整理...
2007-08-08
Asp.net实现无刷新调用后台实体类数据并以Json格式返回
本文主要分享了Asp.net实现无刷新调用后台实体类数据并以Json格式返回的具体实例方法，具有一定的参考价值，有需要的朋友可以看下
2016-12-12