referer与防盗链

4,927 阅读1分钟

referer是什么

referer 中文意思是:参照页面,引用页。

下图直观感受,(づ ̄ 3 ̄)づ

直接在浏览器中输入url地址来直接访问图片/js/css等资源时是没有referer的,

如果有referer说明是引用过来的,要么是从HTML页面,要么是通过css @import,再或则通过background(url)引用。

获取reffer

console.log(req.headers['referer']); //必须小写

注意事项

  • 关键字必须小写
  • 旧浏览器中关键字为refer而不是referer

应用:reffer防盗链

设计思路

我们能通过对比req.headers['referer']req.url中的host来确认资源请求是否是别的站点发来的。

接着,当我们知道了资源请求的来源,我们就能通过一系列手段来决定是否响应请求以及怎样响应。

通常的做法是设置一个白名单,在白名单内的请求我们就响应,否则就不响应。

源码

let http = require('http');
let fs = require('fs');
let url = require('url');
let path = require('path');
const whiteList = [
'localhost:8080'
// ,'192.168.0.22'
];

let server = http.createServer(function(req,res){
let refer = req.headers['referer']||req.headers['refer'];

if(refer){
  let referHostName = url.parse(refer,true).host;
  let currentHostName = url.parse(req.url,true).host;

  if(referHostName != currentHostName && whiteList.indexOf(referHostName) == -1){
    res.setHeader('Content-Type','text/html;charset=utf-8');
    res.end('你娃娃居然盗链!'); //如果是图片资源请求,这里这样返回文字是无效的
    return ;
  }
}

res.setHeader('Content-Type','image/png');
fs.createReadStream(path.join(__dirname,'2.jpg')).pipe(res);
}).listen(9999);