利用referer防止盗链下载

一、首先了解下 referer 的原理 

request.getHeader("referer") 

在开发web程序的时候，有时我们需要得到用户是从什么页面连过来的，这就用到了referer。 

它是http协议，所以任何能开发web程序的语言都可以实现,比如jsp中是： 

request.getHeader("referer"); 

php是$_SERVER['HTTP_REFERER']。其他的我就不举例了（其实是不会其他的语言）。 

那它能干什么用呢？我举两个例子： 

1，防止盗连，比如我是个下载软件的网站，在下载页面我先用referer来判断上一页面是不是自己网站，如果不是，说明有人盗连了你的下载地址。 

2，电子商务网站的安全，我在提交信用卡等重要信息的页面用referer来判断上一页是不是自己的网站，如果不是，可能是黑客用自己写的一个表单，来提交，为了能跳过你上一页里的javascript的验证等目的。 

使用referer的注意事项： 

如果我是直接在浏览器里输入有referer的页面，返回是null（jsp），也就是说referer只有从别的页面点击连接来到这页的才会有内容。 

我做了个实验，比如我的referer代码在a.jsp中，它的上一页面是b.htm，c.htm是一个带有iframe的页面，它把a.jsp嵌在iframe里了。我在浏览器里输入b.htm的地址，然后点击连接去c.htm，那显示的结果是b.htm， 

如果我在浏览器里直接输入的是c.htm那显示的是c.htm 

referer是浏览器在用户提交请求当前页面中的一个链接时,将当前页面的URL放在头域中提交给服务端的,如当前页面为a.html,它里面有一个b.html的链接,当用户要访问b.html时浏览器就会把a.html作为referer发给服务端. 

二、那么如何运用"referer" 来防止盗链下载呢 
我们考虑了用filter实现 

Java代码  

1. public class DefendSteal implements Filter  
2. {  
3.   
4.     protected FilterConfig filterConfig;  
5.     protected String[] allowsites;  
6.     protected String[] files;  
7.     public DefendSteal()  
8.     {  
9.      
10.     }  
11.   
12.     public void destroy()  
13.     {  
14.   
15.     }  
16.   
17.     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)  
18.         throws IOException, ServletException  
19.     {  
20.         HttpServletRequest req = (HttpServletRequest)request;  
21.         HttpServletResponse res = (HttpServletResponse)response;  
22.         String suff = req.getRequestURL().substring(req.getRequestURL().lastIndexOf(".")+1);  
23.         System.out.println("referer:"+req.getHeader("referer"));  
24.         for(int j=0;j<this.files.length;j++){//判断是否有需要阻止的文件类型  
25.             if(suff.equalsIgnoreCase(this.files[j])){  
26.                 if(req.getHeader("referer")==null||"".equals(req.getHeader("referer"))){//这种情况是直接访问实体文件,可防止下载  
27.                     res.sendRedirect(req.getContextPath()+"/NotExist.html");  
28.                 }else{  
29.                     int i=0;  
30.                     for(i=0;i<this.allowsites.length;i++){  
31.                         if(req.getHeader("referer").indexOf(allowsites[i])>=0){  
32.                             break;  
33.                         }  
34.                     }  
35.                     if(i==this.allowsites.length){//不在允许站点列表里,则阻止,这种情况是盗链  
36.                         res.sendRedirect(req.getContextPath()+"/NotExist.html");  
37.                     }  
38.                 }  
39.                 break;  
40.             }  
41.         }  
42.         chain.doFilter(request, response);  
43.     }  
44.   
45.     public void init(FilterConfig filterConfig)  
46.         throws ServletException  
47.     {  
48.         this.filterConfig = filterConfig;  
49.         String strSite = filterConfig.getInitParameter("allowsite");  
50.         allowsites = strSite.split(";");  
51.         String strfile = filterConfig.getInitParameter("file");  
52.         files = strfile.split(";");  
53.     }  
54. }  

对应的web.xml文件配置如下： 

Java代码  

1. 在web.xml中加下如下:  
2.   
3. <filter>  
4.     <filter-name>DefendSteal</filter-name>  
5.     <filter-class>filters.DefendSteal</filter-class>  
6.     <init-param>  
7.       <param-name>allowsite</param-name>  
8.       <param-value>172.19.33.48;172.19.33.91</param-value>  
9.     </init-param>  
10.     <init-param>  
11.       <param-name>file</param-name>  
12.       <param-value>flv;gif</param-value>  
13.     </init-param>  
14.   </filter>  
15.   <filter-mapping>  
16.     <filter-name>DefendSteal</filter-name>  
17.     <url-pattern>/*</url-pattern>  
18.   </filter-mapping>  

Allowsite为否充访问的站点 
File 为被监测的文件类型 

附： 深入理解HTTP协议 
http://www.blogjava.net/zjusuyong/articles/304788.html