用.htaccess防止别人盗链自己的图片和文件
htaccess写法
htaccess写法htaccess文件是一个非常重要的文件,它可以帮助网站管理员控制网站的访问、安全和可用性。
在这篇文章中,我们将深入研究.htaccess 文件,并为您提供有关它的一些最佳实践。
1.什么是.htaccess?.htaccess是一个Apache服务器上的配置文件。
它通常包含一系列指令,用于控制网站的访问和其他功能。
这个文件可以用文本编辑器打开,常常位于网站根目录下。
2.如何使用.htaccess?许多网站管理员使用.htaccess文件来控制网站的访问和保护数据,包括防止网站遭受黑客攻击和DOS攻击等。
这个文件也可以用于重定向URL和更改网站的默认目录等。
3.示例.htaccess文件以下是一个PHP应用程序的示例.htaccess文件:#开启URL重写RewriteEngine on#将请求指向index.phpRewriteRule ^(.*)$ /index.php?path=$1 [NC,L]#拒绝特定用户访问Order deny,allowDeny from 192.168.0.1Allow from all#设置错误页面ErrorDocument 404 /404.php4.重定向URL.htaccess文件可以用于重定向URL。
例如,如果您更改了网站的文件名或目录结构,您可以使用.htaccess文件将旧的URL重定向到新的URL。
这可以帮助避免在搜索引擎中出现404错误页面的情况。
5.防止机器人爬取网站如果您希望防止机器人爬取您的网站,您可以使用.htaccess文件来设置呈现计算机更困难的障碍。
这可以在一定程度上保护您的网站免受机器人攻击。
6.启用Gzip压缩为了让用户更快速地加载网站,您可以启用Gzip压缩功能。
这可以通过.htaccess文件来实现,从而为用户提供更好的体验。
7.总结在本文中,我们讨论了.htaccess文件及其功能。
我们提供了一些htaccess的最佳实践,包括重定向URL、防止机器人爬取网站、启用Gzip压缩等。
. htaccess中的写法
文章标题:深度解析:如何正确使用.htaccess中的写法文章内容:一、介绍.htaccess文件的作用在网络技术中,.htaccess文件是一个Apache服务器的配置文件,它被用来配置服务器的行为。
通常情况下,.htaccess文件会被用来实现URL重写、发送自定义错误页面、限制/允许特定IP位置区域访问全球信息湾等功能。
二、初识.htaccess的语法和结构.htaccess文件的语法比较简单,主要是由一系列指令和参数组成。
在.htaccess文件中,每一条指令都是以Rewrite开头的,其后紧接着是一系列的规则和参数。
要实现URL重写功能,可以使用RewriteRule指令,然后后面跟上具体的重写规则。
三、从简单到复杂:学习.htaccess的基础写法在.htaccess文件中,最常见的用法就是实现URL重写。
通过RewriteRule指令,我们可以将原始URL重写成我们希望的形式。
将动态URL转换为静态URL,或者实现URL路径的重定向等功能。
基础的写法可以通过以下几个简单的例子来体现:1. 实现URL重写在.htaccess文件中,我们可以通过RewriteRule指令来实现URL的重写。
要将动态URL重写为静态URL,可以使用如下的写法:```RewriteEngine OnRewriteRule ^article/([0-9]+)$ /article.php?id=$1 [L]```这条规则表示,将形如/article/123的URL重写为/article.php?id=123的形式。
2. 实现URL路径的重定向除了重写功能,.htaccess文件还可以实现URL路径的重定向。
将所有访问全球信息湾根目录下的文件都重定向到一个新的子目录下,可以用如下的写法:```RewriteEngine OnRewriteRule (.*) /newfolder/$1 [R=301,L]```这条规则表示,将原始URL中的路径都重定向到/newfolder/目录下,并返回301状态码。
HTTPS如何防范网络嗅探攻击
HTTPS如何防范网络嗅探攻击在当今数字化的时代,网络已经成为了我们生活和工作中不可或缺的一部分。
然而,随着网络的普及和发展,网络安全问题也日益凸显。
网络嗅探攻击就是其中一种常见且危险的威胁。
那么,什么是网络嗅探攻击呢?简单来说,网络嗅探攻击就是攻击者通过监听网络流量,获取其中的敏感信息,如用户名、密码、信用卡号等。
为了保护我们在网络上的信息安全,HTTPS 应运而生。
HTTPS,全称为 HyperText Transfer Protocol Secure,即超文本传输安全协议。
它是在 HTTP 的基础上加入了 SSL(Secure Sockets Layer)或 TLS(Transport Layer Security)协议,对数据进行加密传输,从而有效地防范了网络嗅探攻击。
首先,HTTPS 通过加密数据来防止嗅探。
在普通的 HTTP 协议中,数据是以明文的形式在网络中传输的。
这就好比在一个开放的广场上大声喊出你的秘密,任何人都有可能听到。
而 HTTPS 则使用了加密算法,将数据转换成一种无法直接理解的密文。
只有拥有正确密钥的接收方才能将密文解密还原成原始数据。
这样一来,即使攻击者成功嗅探到了数据,看到的也只是一堆毫无意义的乱码,无法获取其中的有用信息。
其次,HTTPS 还对服务器和客户端进行了身份验证。
在建立连接时,客户端会验证服务器的数字证书,确保自己连接的是合法的、可信的服务器,而不是被攻击者伪装的虚假服务器。
数字证书就像是服务器的“身份证”,包含了服务器的名称、公钥等信息,并由权威的证书颁发机构(CA)进行签名认证。
如果服务器的数字证书无法通过验证,客户端就会发出警告,提醒用户可能存在风险。
这种身份验证机制有效地防止了中间人攻击,因为攻击者无法伪造合法的数字证书来欺骗客户端。
此外,HTTPS 还通过建立安全的连接来防范网络嗅探攻击。
在建立HTTPS 连接时,会进行一系列的握手过程,协商加密算法、密钥等参数。
网站图片防盗链
通过.htaccess来防止网站的图片、压缩文件、或视频等非Html文件被盗链的方法相当简单,通过在该文件中加入几句命令即可保护我们宝贵的带宽。例如的设置如下:
以下为引用的内容:
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$ [NC]
设置允许访问的HTTPe .*\.(gif|jpg|png)$ /no.png [R,NC,L]
定义被盗链时替代的图片,让所有盗链 jpg、gif、png 等文件的网页,显示根目录下的 no.png 文件。注意:替换显示的图片不要放在设置防盗链的目录中,并且该图片文件体积越小越好。当然你也可以不设置替换图片,而是使用下面的语句即可:
允许空“HTTP_REFERER”的访问,即允许用户在浏览器地址栏中直接输入图片地址时图片文件的显示。一般而言,这是可选的,不过,建议这么设置,如果强迫必须具有“HTTP_REFERER”才能访问,可能会带来某些问题,比如说在用户通过代理服务器访问时。
2、RewriteCond %{HTTP_REFERER} ! [NC]
RewriteCond %{HTTP_REFERER} ! [NC]
RewriteRule .*\.(gif|jpg)$ /no.png [R,NC,L]
简单的解释一下上述语句:
1、RewriteCond %{HTTP_REFERER} !^$ [NC]
RewriteCond %{HTTP_REFERER} ! [NC]
RewriteCond %{HTTP_REFERER} ! [NC]
RewriteCond %{HTTP_REFERER} ! [NC]
如何防止别人盗用自己网站的图片链接或文件链接代码
如何防止别人盗用自己网站的图片链接或文件链接HttpHandler的使用1 、概述说明:HttpHandler是一个HTTP请求的真正处理中心。
在HttpHandler容器中, Framework才调用HttpHandler的ProcessRequest成员方法来对这个HTTP请求进行真正的处理,真正地对客户端请求的服务器页面做出编译和执行,并将处理过后的信息附加在HTTP请求信息流中再次返回到HttpModule中。
2、举例以一个aspx页面为例,正是在HttpHandler这里,一个aspx页面才被系统处理解析,并将处理完成的结果继续经由HttpModule传递下去,直至到达客户端。
当然,对于aspx页面, Framework在默认情况下是交给System.Web.UI.PageHandlerFactory 这个HttpHandlerFactory来处理的。
当一个HTTP请求到达这个HttpHandlerFactory 时,HttpHandlerFactory会提供出一个HttpHandler容器,交由这个HttpHandler容器来处理这个HTTP请求。
一个HTTP请求都是最终交给一个HttpHandler容器中的ProcessRequest方法来处理的。
3、HttpHandler(1)实现HttpHandler,必须继承自IHttpHandler接口。
下面是这个接口的定义:(2)自定义HttpHandler新建一个网站,default.aspx页面:default.aspx.cs:新添一个类库MyHandler,添加一个类如下:到这里,针对Handler1.aspx和Handler2.aspx两个页面的http请求我们就通过HttpHandler工厂处理好了。
5、HttpHandler和HttpModule的区别主要有两点:(1)先后次序.先IHttpModule,后IHttpHandler,IHttpHandler处理结束后再交给IHttpModule;(2)对请求的处理上:IHttpModule是属于大小通吃类型,无论客户端请求的是什么文件,都会调用到它;例如aspx,html,rar的请求;IHttpHandler则属于挑食类型,只有注册过的文件类型(例如aspx,ascx,asmx 等等)才会轮到调用它。
最完的htaccess文件用法收集整理
1.时区设置有些时候,当你在PHP里使用date或mktime函数时,由于时区的不同,它会显示出一些很奇怪的信息。
下面是解决这个问题的方法之一。
就是设置你的服务器的时区。
你可以在这里找到所有支持的时区的清单。
1.SetEnv TZ Australia/Melbourne2. 搜索引擎友好的301永久转向方法为什么这是搜索引擎友好的呢?因为现在很多现代的搜索引擎都有能根据检查301永久转向来更新它现有的记录的功能。
1.Redirect 301 /home /3. 屏蔽下载对话框通常,当你下载东西的时候,你会看到一个对话框询问你是保持这个文件还是直接打开它。
如果你不想看到这个东西,你可以把下面的一段代码放到你的.htaccess文件里。
1.AddType application/octet-stream .pdf2.AddType application/octet-stream .zip3.AddType application/octet-stream .mov4. 省去www前缀SEO的一个原则是,确保你的网站只有一个URL。
因此,你需要把所有的通过www 的访问转向的非www,或者反这来。
1.RewriteEngine On2.RewriteBase /3.RewriteCond %{HTTP_HOST} ^ [NC]4.RewriteRule ^(.*)$ /$1 [L,R=301]5. 个性化Error页面对每个错误代码定制自己个性化的错误页面。
1.ErrorDocument 401 /error/401.php2.ErrorDocument 403 /error/403.php3.ErrorDocument 404 /error/404.php4.ErrorDocument 500 /error/500.php6. 压缩文件通过压缩你的文件体积来优化网站的访问速度。
1.# 压缩 text, html, javascript, css, xml:2.AddOutputFilterByType DEFLATE text/plain3.AddOutputFilterByType DEFLATE text/html4.AddOutputFilterByType DEFLATE text/xml5.AddOutputFilterByType DEFLATE text/css6.AddOutputFilterByType DEFLATE application/xml7.AddOutputFilterByType DEFLATE application/xhtml+xml8.AddOutputFilterByType DEFLATE application/rss+xml9.AddOutputFilterByType DEFLATE application/javascript10.AddOutputFilterByType DEFLATE application/x-javascript7. 缓存文件缓存文件是另外一个提高你的网站访问速度的好方法。
htaccess 高级规则
htaccess 高级规则在.htaccess文件中,你可以使用一些高级规则来定制你的网站的行为。
以下是一些常见的.htaccess高级规则:1. 错误处理:使用ErrorDocument指令来指定错误页面。
例如,当访问不存在的页面时,可以重定向到自定义的404错误页面。
2. 重定向:使用Redirect或RedirectMatch指令来实现页面或URL的重定向。
这可以帮助你更改网站的URL结构或将旧URL重定向到新URL。
3. 访问控制:使用Order和Allow/Deny指令来限制对特定目录或文件的访问。
你可以根据IP地址、用户代理或请求方法来允许或拒绝访问。
4. 内容过滤:使用AddType和AddHandler指令来指定文件类型和请求的处理程序。
这可以帮助你控制对特定文件类型的访问,例如禁止直接访问PHP文件。
5. 缓存控制:使用Expires和Cache-Control指令来控制页面缓存。
这可以提高网站的加载速度并减少服务器负载。
6. 自定义头部:使用Header指令来设置自定义头部信息,例如设置响应头、设置CORS策略等。
7. 限制请求方法:使用Limit指令来限制对特定目录或文件的请求方法。
例如,只允许GET和POST请求访问某个目录。
8. 防盗链:使用RewriteRule和Header指令来防止其他网站盗链你的资源。
这可以通过检查请求的Referer头来实现。
这些只是.htaccess高级规则的一部分,具体规则取决于你的需求和网站的情况。
在编写规则时,请注意测试和验证规则以确保它们按预期工作,并注意不要过度限制或混淆用户的访问权限。
WordPress 的 .htaccess 规则
WordPress 的 .htaccess 规则我们知道 .htaccess 文件能轻松地强化你的博客,减少带宽并增加可用性。
我曾经写过一篇简易的 .htaccess 教程:《四个例子实战讲解.htaccess 文件rewrite 规则》。
如果你还想继续了解 .htaccess 文件,那么不妨看看下面这26个规则:但是请先记住一条黄金法则:先备份,再折腾!A – WP- Admin – 管理员页面你可以限制访问 WP- Admin 页面的 IP 地址1 2 3 order deny ,allowallow from a .b .c .d # This is your static IPdeny from all来源 B – Blacklist – 黑名单.htaccess 的一个重要功能是你能把它作为 IP 黑名单来使用: 1 2 3 4 5 <Limit GET POST PUT >order allow ,denyallow from alldeny from 123.456.789</LIMIT >来源 – Perishable PressC – WP-Config Protection – 保护 Config 页WP-Config 文件里包含了你的数据库名、数据库用户名与密码。
这样的文件你敢让别人看到吗?所以你会需要用 .htaccess 来保护它。
1 2 3 4 5# protect wpconfig.php <files wp -config.php > order allow ,deny deny from all </files > 来源 – Josiah ColeD – Disable Directory Browsing – 禁止浏览目录WP-Config 文件里包含了你的数据库名、数据库用户名与密码。
这样的文件你敢让别人看到吗?所以你会需要用 .htaccess 来保护它。
怎么防止网站图片被盗链
”NoCas矿指令:定义正则表达式的值忽略字符串的大小写。
Order Allow, Deny:设置Apache对当前的请求,将执行歹。表中的Allow指令,然后重复进行Deny指令。
local ref:这将使设置了local ref环境变量(无论什么值)的请求通过。任何其他的:请求将 被拒绝,因为它们不符合Allow的条件并且默认是拒绝访问的。
RewiiteCond %{HTTP_REFERER} ! [NC]
RewiiteCond %(HTTP_REFERER} ! [NC]
RewiiteRiile . *. (gifljpg|png)$ xitongclieiig. com[R,NC,L]
这样客户们就可以防止网站的流量因为图片被盗链而损失了,这个方法也可以添加上
rar, zip
例如添加zip文件的防盗链:
将这个(gifljpg|png|zip)替區掉上面完整代码中的(gifljpg|png)这段。
SESSION
SESSION变量防盗链技术的原理是判断图片访问者的权限,如果有权限则可以访问,否则 就不能够访问。具体实施就是,首先定义一个SESSION变量,然后使用另一个脚本生成图 像,并且在这个脚本中判断这个SESSION变量是否存在,如果存在则可以访问图像。例
简单的解释下每条语句的意思:代如下RewiiteCond %(HTTP_REFERER}!八$[NC]
允许空“HTTP_REFERER”的访问,即允许用户在浏览器地址栏中直接输入图片地址时图片 文件的显示。一般而言,这是可选的,不过,建议这么设置,如果强迫必须具有“HITP_REFERER”才能访问,可能会带来某些问题,比如说在用户通过代理服务器访问时。
.htaccess屏蔽恶意user-agent访问网站的方法
.htaccess屏蔽恶意user-agent访问网站的方法User Agent中文名为用户代理,简称UA,它是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU 类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。
这些信息会保存在服务器日志里面,因此当网站有人恶意访问时,可以查看服务器日志里面的user-agent信息,并将恶意访问者的user-agent 屏蔽掉。
最近我们就发现一些客户的网站同时被大量不同IP访问,导致网站使用过多服务器进程出现500 Internal Server Error错误,我们查看服务器日志发现这些访问都来自不同的IP,但是user-agent却完全相同,很明显是恶意访问该网站对其攻击,user-agent里面都含有“Mozilla/4.0”,因此我们在.htaccess里面添加上一下代码对其进行屏蔽:SetEnvIfNoCase User-Agent "Mozilla/4.0" bad_userOrder Allow,DenyAllow from allDeny from env=bad_userRewriteCond %{HTTP_USER_AGENT} Mozilla\/4\.0 [NC]RewriteRule .* - [R=503,L].htaccess文件里面加上以上代码后,网站马上就可以正常访问了。
不过这样做也可能会导致低版本的浏览器,如IE 6等无法网站网站,所以当攻击停止后建议尽快删除.htaccess里面添加的那些代码。
下面是只允许搜索引擎访问SetEnvIfNoCase User-Agent .*google.* search_robotSetEnvIfNoCase User-Agent .*yahoo.* search_robotSetEnvIfNoCase User-Agent .*bot.* search_robotSetEnvIfNoCase User-Agent .*ask.* search_robotOrder Deny,AllowDeny from AllAllow from env=search_robot下面是另一个例子<IfModule mod_rewrite.c>SetEnvIfNoCase ^User-Agent$ .*(libwww-perl|aesop_com_spiderman) HTTP_SAFE_BADBOTDeny from env=HTTP_SAFE_BADBOT</ifModule>阻止 User Agent 的所有请求## .htaccess Code :: BEGIN## Block Bad Bots by user-AgentSetEnvIfNoCase user-Agent ^FrontPage [NC,OR]SetEnvIfNoCase user-Agent ^Java.* [NC,OR]SetEnvIfNoCase user-Agent ^Microsoft.URL [NC,OR]SetEnvIfNoCase user-Agent ^MSFrontPage [NC,OR]SetEnvIfNoCase user-Agent ^Offline.Explorer [NC,OR]SetEnvIfNoCase user-Agent ^[Ww]eb[Bb]andit [NC,OR]SetEnvIfNoCase user-Agent ^Zeus [NC]Order Allow,DenyAllow from allDeny from env=bad_bot## .htaccess Code :: ENDAllow from and Rewrite* are directives from two different Apache's modules.The first one is mod_authz_host and the other from mod_rewrite.You can use mod_rewrite to do what you want:RewriteEngine onRewriteCond %{HTTP_USER_AGENT} !=myuseragentRewriteRule .* - [F,L]。
apache.htaccess文件详解和配置技巧总结
apache.htaccess⽂件详解和配置技巧总结.htaccess是⼀个纯⽂本⽂件,它⾥⾯存放着Apache服务器配置相关的指令。
.htaccess主要的作⽤有:URL重写、⾃定义错误页⾯、MIME类型配置以及访问权限控制等。
主要体现在伪静态的应⽤、图⽚防盗链、⾃定义404错误页⾯、阻⽌/允许特定IP/IP段、⽬录浏览与主页、禁⽌访问指定⽂件类型、⽂件密码保护等。
.htaccess的⽤途范围主要针对当前⽬录。
启⽤.htaccess,需要修改httpd.conf,启⽤AllowOverride,并可以⽤AllowOverride限制特定命令的使⽤。
打开httpd.conf⽂件⽤⽂本编辑器打开后,查找复制代码代码如下:<Directory />Options FollowSymLinksAllowOverride None</Directory>改为:<Directory />Options FollowSymLinksAllowOverride All</Directory>如果需要使⽤.htaccess以外的其他⽂件名,可以⽤AccessFileName指令来改变。
例如,需要使⽤.config ,则可以在服务器配置⽂件中按以下⽅法配置:复制代码代码如下:AccessFileName .config1、访问控制基础:Order命令为了限制⽤户访问⼀些关键⽬录,通常加⼊.htaccess⽂件,常见的写法如下:复制代码代码如下:<Files ~ "^.*\.([Ll][Oo][Gg])|([eE][xX][eE])">Order allow,denyDeny from all</Files>说明:(1)Files后的波浪线表⽰启⽤“正则表达式”,简单的写法有:<Files *>。
(2)Order命令:通过Allow,Deny参数,Apache⾸先找到并应⽤Allow命令,然后应⽤Deny命令,以阻⽌所有访问,也可以使⽤Deny,Allow。
htaccess文件使用教程
.htaccess是一个站点管理员可以应用的强大工具,有更多的变化以适应不同的用途,可以节约时间及提高网站的安全性.htaccess的特别说明* 启用.htaccess,需要修改httpd.conf,启用AllowOverride,并可以用AllowOverride 限制特定命令的使用* 如果需要使用.htaccess以外的其他文件名,可以用AccessFileName指令来改变。
例如,需要使用.config ,则可以在服务器配置文件中按以下方法配置:AccessFileName .config* 一般情况下,不应该使用. htaccess文件,除非你对主配置文件没有访问权限。
有一种很常见的误解,认为用户认证只能通过.htaccess文件实现,其实并不是这样,把用户认证写在主配置文件中是完全可行的,而且是一种很好的方法。
.htaccess文件应该被用在内容提供者需要针对特定目录改变服务器的配置而又没有 root权限的情况下。
如果服务器管理员不愿意频繁修改配置,则可以允许用户通过.htaccess文件自己修改配置,尤其是ISP在同一个机器上运行了多个用户站点,而又希望用户可以自己改变配置的情况下。
虽然如此,一般都应该尽可能地避免使用.htaccess文件。
任何希望放在.htaccess文件中的配置,都可以放在主配置文件的<Directory>段中,而且更高效。
避免使用.htaccess文件有两个主要原因,即性能和安全。
附:在线.htaccess文件生成器http://cooletips.de/htaccess/能够在线生成. htaccess文件,很简单的就配置重定向,系统错误文件等。
.htaccess编辑器在线编辑器可自定义默认编码,错误页面等等下载地址:/attachments/month_0506/zxp4_my.rar1.什么是.htaccess文件从本指南中,你将可以学习到有关.htaccess文件及其功能的知识,并用以优化你的网站。
PHP培训实战教程之简单配置.htaccess即可实现的10个功能
1.反盗链那些盗用了你的内容,还不愿意自己存储图片的很常见的。
你可以通过以下配置来防止别人盗用你的图片:RewriteBase/RewriteCond%{HTTP_REFERER}!^$RewriteCond%{HTTP_REFERER}!^http://(www.)?itcast./.*$[NC] RewriteRule.(gif|jpg|swf|flv|png)$/feed/[R=302,L]2.防止目录浏览有时候目录浏览有用的,但部分情况会有问题。
为了让你的更,你可以通过htaccess文件来禁用这个功能:OptionsAll-Indexes3.SEO友好的301重定向这一招常用的。
每次更改URL结构的时候,都会301重定向:Redirect301http://www.itcast./article.htmlhttp://www.itcast./archives/article4.显示个性化的404页面当用户访问了一个不存在的页面的时候,网页器会显示“404filenotfound”。
有很多CMS可以让你设置自定义的页面,但最简单的方法更改htaccess:ErrorDocument404/404.html5.设置目录的默认页面假如你需要为不同的目录设置不同的默认页面,你可以很容易的通过.htaccess实现:DirectoryIndexabout.html6.基于referer来限制访问站长通常不会限制访问,但当你发现有一些尽给你带来垃圾流量的话,你就应该屏蔽他们:<IfModulemod_rewrite.c>RewriteEngineonRewriteCond%{HTTP_REFERER}spamteam.[NC,OR]RewriteCond%{HTTP_REFERER}trollteam.[NC,OR]RewriteRule.*–[F]</ifModule>7.限制PHP上传文件小这招在共享空间的器上很有用,可以让的用户上传更的文件。
如何防止盗链
当然,从严格的道德与法律角度讲,对方网站就算不盗链,就算将文件拷贝到其自己的服务器使用,也应首先征得您的许可。不过,在Internet世界里破坏规则往往是不必付出代价的,这也使得许多人习惯了在网站建设中使用别人的内容与资源,源网站自身对此是无能为力的。这方面中文网站更是位于“世界领先”的地位,在中华传统“文化”的熏陶与教育大跃进的共同作用下,与鬼子们对抄袭、盗链大都还遮遮掩掩相比,中文网站往往非但不以为忤反而理直气壮,“窃书不算偷”甚至“窃你的书是看得起你”之类的说辞甚至成为主流。去年笔者就曾遇到过一位“极品男”,因我的某个网站图片被盗链严重,服务器带宽被大量占用,而不得不采用最原始的防盗链手段——那个网站因使用IIS,而且未安装Mod_rewite功能扩展模块——即改变图片文件存储目录与文件名的方式,结果却收到某个盗链网站的抗议,义正辞严地指责我那么做是如何如何地不道德,给他带来了多大的麻烦:他不得不逐个修改每个网页以让图片能够正确显示,并谆谆教导我保持图片url恒定不变才显得更为专业等,让人啼笑皆非。
上面这一行意在允许空“HTTP_REFERER”的访问,即允许用户在浏览器地址栏中直接输入图片地址时图片文件的显示。一般而言,这是可选的,不过,建议这么设置,如果强迫必须具有“HTTP_REFERER”才能访问,可能会带来某些问题,比如说在用户通过代理服务器访问时。
RewriteCond %{HTTP_REFERER} ! [NC]
允许特定访问来源:单纯针对图片文件来说,事实上也不可能禁止所有除您自身网站之外的其他访问,比如说Google,如果您希望通过Google图片搜索获得一定访问的话,必须让其能够正确读取真正的图片文件,再如应能够让RSS订阅用户看到feed中的图片,这就要求允许来自bloglines等的访问。
防盗链实现原理(一)
防盗链实现原理(一)防盗链实现防盗链(Hotlink Protection)是网站常用的一种安全措施,用于阻止其他网站在未经授权的情况下直接访问本站资源。
实现防盗链可以有效保护网站的内容安全,避免资源被恶意盗链引用。
为什么要防盗链?盗链是指其他网站在未经允许的情况下直接引用本站资源,例如图片、视频、音频等。
这不仅可能导致带宽资源被占用,还可能被恶意访问者利用进行不良用途。
通过防盗链实现,网站可以限制资源的访问范围,提高网站资源的安全性。
实现原理防盗链的实现原理主要基于 HTTP 请求的 Referer 字段。
Referer 是指请求来源页面的 URL,通过检查 Referer 字段可以判断请求是否来自本站或者合法的来源。
以下是常见的防盗链实现方法:1.黑名单法:管理员设定一份黑名单,包含不被允许引用资源的来源页面。
服务器在接收到请求时,检查 Referer 字段是否在黑名单中,若在,则返回 403 Forbidden 错误。
这种方法简单易行,但需要维护黑名单列表。
2.白名单法:管理员设置一份白名单,只允许来自白名单中的页面引用资源。
服务器在接收到请求时,检查 Referer 字段是否存在且在白名单中,若不在,则返回 403 Forbidden 错误。
这种方法较为安全,但需要维护白名单列表。
3.动态生成防盗链链接:服务器动态生成防盗链链接,将资源的URL 进行加密,并在生成链接时设置过期时间。
生成的链接只有在时效内才能访问资源,过期后则无效。
这种方法相对复杂,但更加灵活和安全。
防盗链实践实现防盗链之前,首先需要确定自己的业务需求,并根据实际情况选择合适的实现方法。
下面是一些实践建议:•检查 Referer 字段时,要考虑兼容性和 HTTP 协议的大小写问题。
•注意防止被伪造的 Referer 字段绕过防盗链校验。
可以使用其他校验方式,如校验请求 IP 是否在合法范围内等。
•防盗链设置可能会影响用户体验,例如某些工具或浏览器可能不发送 Referer 字段。
配置.htaccess文件实现图片防盗链
配置.htaccess文件实现图片防盗链
RewriteCond %{HTTP_REFERER} !bloglines [NC]
这部分是判断是否盗链,如果以上条件都成立(即访问图片的请求,既不是直接输入网址,也不是来自suixie,也不是来自zhuaxia,也不是来自google,也不是来自baidu,也不是来自bloglines 的话),就执行下列转向:
RewriteRule .(jpg|gif|png|bmp|swf|jpeg) /image/replace.gif [R,NC,L]
意思是让所是suixie/img/girl.jpg ,现在就会转到image.chong4/image/girl.jpg 去。
当然了你得先把原服务器img 目录下的文件统统拷贝到临时服务器的image 目录下,转向才会真正可用。
起到的效果就是把原服务器图片下载所占用的流量统统省下,让临时服务器来承受了。
最后解释一下文件里头用到的R、NC 和L :
R 就是转向的意思
NC 指的是不区分大小写
L 的作用是指明本次转向到此结束,后续的转向不受先前判断语句的影响
以上就是我们给大家介绍的htaccess的内容了。
希望大家学业有成,工作。
使用.Htaccess防盗链
使用.Htaccess防盗链
下面我们给大家介绍一下Htaccess防盗链吧!希望大家学业有成,工作顺利
图片防盗链有什幺用?
防止其它网站盗用你的图片,浪费你宝贵的流量。
图片转向有什幺用?
如果你的网站以图片为主,哪天发现月底没到流量就快用光了,那就可以利用图片转向,在不修改网页的前提下,把图片下载请求转向到其它空间(比如试用主机),临时过渡。
下面开始讲解,比如你的图片都在img目录下,那就在该目录下放一个名为.htaccess 的文件,内容如下:
RewriteEnimcole [NC]
RewriteCond %{HTTP_REFERER} !zhuaxia [NC]
RewriteCond %{HTTP_REFERER} !google [NC]。
httacces文件的密码保护和防止盗链
httacces⽂件的密码保护和防⽌盗链1.密码保护的.htaccess⽂件尽管有各种各样的.htaccess⽤法,但⾄今最流⾏的也可能是最有⽤的做法是将其⽤于⽹站⽬录可靠的密码保护。
尽管JavaScrip等也能做到,但只有.htaccess具有完美的安全性(即访问者必须知晓密码才可以访问⽬录,并且绝⽆“后门”可⾛)。
利⽤.htaccess将⼀个⽬录加上密码保护分两个步骤。
第⼀步是在你的.htaccess⽂档⾥加上适当的⼏⾏代码,再将.htaccess⽂档放进你要保护的⽬录下:AuthName “Section Name”AuthType BasicAuthUserFile /full/path/to/.htpasswdRequire valid-user你可能需要根据你的⽹站情况修改⼀下上述内容中的⼀些部分,如⽤被保护部分的名字”Members Area”,替换掉“Section Name”。
/full/parth/to/.htpasswd则应该替换为指向.htpasswd⽂件(后⾯详述该⽂档)的完整服务器路径。
如果你不知道你⽹站空间的完整路径,请询问⼀下你的系统管理员。
2.密码保护的.htpasswd⽂件⽬录的密码保护⽐.htaccess的其他功能要⿇烦些,因为你必须同时创建⼀个包含⽤户名和密码的⽂档,⽤于访问你的⽹站,相关信息(默认)位于⼀个名为.htpasswd的⽂档⾥。
像.htaccess⼀样,.htpasswd也是⼀个没有⽂件名且具有8位扩展名的⽂档,可以放置在你⽹站⾥的任何地⽅(此时密码应加密),但建议你将其保存在⽹站Web根⽬录外,这样通过⽹络就⽆法访问到它了。
1516501417在使⽤.htaccess来设置⽬录的密码保护时,它包含了密码⽂件的路径。
从安全考虑,有必要把.htaccess也保护起来,不让别⼈看到其中的内容。
虽然可以⽤其他⽅式做到这点,⽐如⽂档的权限。
不过,.htaccess本⾝也能做到,只需加⼊如下的指令:1516501417order allow,denydeny from all3.配置 .htaccess 输⼊⽤户名和密码要利⽤.htaccess对某个⽬录下的⽂档设定访问⽤户和对应的密码,⾸先要做的是⽣成⼀个.htpasswd的⽂本⽂档,例如:forge:y4E7Ec8e7EwV这⾥密码经过加密,⽤户可以⾃⼰找些⼯具将密码加密成.htaccess⽀持的编码。
防盗链原理
防盗链原理1. 什么是防盗链?防盗链(hotlinking)是指直接在A网站上使用B网站上的图片或其他资源,而不是下载到自己的服务器上再使用。
这种行为会让B 网站的流量增加,而A网站却不需要为此付出代价,很容易导致B网站的带宽消耗量增加,服务器负荷加重,严重的甚至可能导致B网站瘫痪。
为了应对这种情况,B网站需要采取措施,即防盗链。
2. 防盗链的原理在技术上,防盗链的原理就是在B网站上设置一个程序或一个脚本,来检测访问该站点的请求是否来自自己网站的页面,如果不是,则不会提供图片或其他资源,而是返回一个提示信息或是一个替代图片。
这样可以确保只有B网站上授权的访问者才能正常获取图片或其他资源,从而避免了不必要的流量消耗和服务器负担。
具体实现方式可以采用以下几种方法:2.1 HTTP_REFERER属性HTTP_REFERER是一个HTTP报头,在浏览器向服务器发送请求时会包含这个报头,用来告诉服务器请求来源是哪个网站。
B网站可以检测HTTP_REFERER的内容,如果不是自己的网站,则拒绝提供资源。
2.2 .htaccess文件.htaccess是一个Apache服务器的配置文件,在这个文件里可以设置很多网站的访问权限和安全控制。
B网站可以通过修改.htaccess文件来实现防盗链,具体方法是在文件中添加一些规则,比如规定只有自己网站的访问请求才允许访问资源,其他请求则拒绝。
2.3 JavaScript脚本JavaScript脚本可以在B网站的页面中嵌入,用来检测浏览器中的HTTP_REFERER属性,如果检测到不是自己的网站,则通过JavaScript代码来隐藏图片或其他资源。
3. 防盗链的应用防盗链主要是应用在图片和视频等资源保护方面。
很多网站比如社交网络、图片分享网站等,都需要保护自己的图片资源不被其他网站恶意盗链接用。
此外,一些网站上的敏感信息、音频、视频等资源也需要进行防盗链处理,以保证资源的安全性和机密性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
如何防止别人盗链自己的文件呢,也就是说如何防止别人知道自己的服务器中的文件的绝度路径而无偿使用自己的资源呢,比如自己网站下有一个文件 1.jpg,那么别人知道这个文件放在你的网站的/img/1.jpg这个路径中,那么他就可以在他的网站上利用这个地址而是用你的图片。
如何防止这个呢。
简单有效的方法,在apache服务器中使用.htaccess 文件来限制允许访问相应文件夹的地址。
(以apache服务器安装在本地电脑为例)
首先,为了测试方便,我们打开我们电脑C:\WINDOWS\system32\drivers\etc\hosts这个文件,然后在里面找到(因为打开文件的工具不同,可能会看到与图中有些偏差,但是文件中的内容是一样的,不影响操作)
这个红色部分,使用过apache服务器的都知道,当我们在浏览器输入localhost之后,浏览器访问的就是我们apache服务器的根目录,现在我们在红色部分的下面,给他指定两个新的域名:
我们增加了和两个域名,当我们在浏览器输入或者的时候,得到的效果和输入localhost是一样的,相当于三个不同的域名指向了同一个地址,就像谷歌地址一样,输入和访问的地方时一样的。
这样做只是为了我们测试.htaccess的时候可以看到不同域名访问的结果。
下面就步入正题,我们在apache服务器的根目录下创建两个文件夹,一个是image和images,
Images中的文件:
Image中的文件:
然后在根目录下创建index.html文件,在文件中的代码:
只是一个简单的网页中加入了一个<img src="http://192.168.0.21/images/1.jpg">图片,从src 后面的地址可以看到,我要放入的图片的地址是http://192.168.0.21/images/1.jpg,其中的192.168.0.21是我的本地的IP地址,也就是说这个ip和localhost的作用是一样的,都是为了连接到服务器的根目录。
正常情况下,运行index.html以后,应该是这个样子:
这样,无论任何人,只要在他的网页上写对了http://192.168.0.21/images/1.jpg这个地址,那么他都可以使用上面的这个图片显示在他的网页上,那么现在我们要禁止这种情况的发生,
所以我们要使用apache服务器的.htaccess文件来限制别人对我的文件夹的访问。
首先,我们需要配置apache的配置文件,使他支持我们使用.htaccess文件,方法:
1.将工作目录下的AllowOverride None 改为AllowOverride All。
具体位置
为你可以在http.conf下搜索AllowOverride controls what directives may be placed in .htaccess files. 该句下面的那个AllowOverride就是要改的位置。
2.开启.mod_rewrite模块。
将#LoadModule rewrite_module
modules/mod_rewrite.so前的#去掉即可。
然后就配置好了。
下面我们对刚刚被使用的图片所在的文件夹(images)进行限制。
在images文件夹下新建记事本,然后另存为.htaccess文件(只能记事本另存为的时候才能保存为.htaccess文件,否则重命名文件是做不到的):
然后,我们用记事本打开.access文件,在里面写入:
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)?(/)?.*$ [NC]
RewriteRule .*.(gif|jpg|jpeg|bmp|png)$ /image/1.jpg [R,NC,L]
其中是我们刚刚新建的两个域名之一,写在这里的作用是,是被本地服务器所允许访问的我们本地被保护文件夹的域名,如果需要添加其他的域名,可以更改所在的地方,或者,如果需要增加被允许的域名,可以复制RewriteCond %{HTTP_REFERER} !^http://(www.)?(/)?.*$ [NC]然后更改其中所在的地方,比如我们允许访问我们的文件夹,那么就写成:RewriteCond %{HTTP_REFERER} !^http://(www.)?(/)?.*$ [NC]
需要注意的是,虽然我们写的只是顶级域名,但是,在这个顶级域名下的任何一个子域名,比如/img或者/img/abc这样的域名访问我们被保护的文件夹时都会被认证一下,如果这些子域名最前面一部分是我们允许的域名那么他就可以访问我们的文件夹。
而RewriteRule .*.(gif|jpg|jpeg|bmp|png)$ /image/1.jpg [R,NC,L]
这一句的意思就是当有域名访问我们被保护的文件夹的时候,如果他的目的是使用我们这里写到的这些格式的文件(gif|jpg|jpeg|bmp|png),并且他们是不被我们允许的域名,那么他们将引用的地址将自动转向我们指定的地方,比如说我们这里指定的是刚刚新建的一个域名下的image/1.jpg文件。
下面我们做实验:
当我们用允许的域名访问根目录下的index.html的时候,index.html中显得的图片是正常的:
但是当我们用不被允许的访问根目录下的index.html的时候,显示的是这样的:
因为不被我们允许,所以当使用访问服务器的时候,服务器把引用的文件地址转向到了/image/1.jpg
这个方法还可以限制当别人知道我们文件所在的绝对路径以后,直接输入文件的绝对路径进行下载而不被我们系统进行身份认证,而所要做的只是在(gif|jpg|jpeg|bmp|png)当中添加几个不同格式的文件而已,比如我们保护的是zip和rar格式的文件。
那么只需要写成(gif|jpg|jpeg|bmp|png|zip|rar)就可以了,当有不被我们允许的域名下载zip和rar格式的文件的时候,页面将自动跳转到我们指定的地方去。