CN107911336B - 一种web盗链防护方法 - Google Patents

一种web盗链防护方法 Download PDF

Info

Publication number
CN107911336B
CN107911336B CN201710927014.1A CN201710927014A CN107911336B CN 107911336 B CN107911336 B CN 107911336B CN 201710927014 A CN201710927014 A CN 201710927014A CN 107911336 B CN107911336 B CN 107911336B
Authority
CN
China
Prior art keywords
http request
client
response
gateway
protection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710927014.1A
Other languages
English (en)
Other versions
CN107911336A (zh
Inventor
康星
焦小涛
何建锋
陈宏伟
程效波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xi'an Jiaotong University Jump Network Technology Co ltd
Original Assignee
Xi'an Jiaotong University Jump Network Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xi'an Jiaotong University Jump Network Technology Co ltd filed Critical Xi'an Jiaotong University Jump Network Technology Co ltd
Priority to CN201710927014.1A priority Critical patent/CN107911336B/zh
Publication of CN107911336A publication Critical patent/CN107911336A/zh
Application granted granted Critical
Publication of CN107911336B publication Critical patent/CN107911336B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明属于计算机网络安全技术领域,具体涉及一种WEB盗链防护方法,基于现有的通过referer防护盗链的方法,当客户端请求中不包含referer信息时,进一步通过cookie进行判断时,前置网关生成一个盗链防护标识,然后重定向,当客户端再次访问时,对请求头中cookie字段进行解密,得到客户端源IP和服务器标识符,判断该客户端源IP是否与当前发出Http请求的客户源IP一致,进而进行响应或者丢弃该请求,对盗链的防护更加全面,同时将拒绝访问的客户端加入黑名单,下次访问时直接阻止,不需要经过后续的判断,提高了防护效率,为了防止盗链防护标识的泄露,本发明中的盗链防护标识通过Hash算法或者加密算法进行加密,提高了防护效率。

Description

一种WEB盗链防护方法
技术领域
本发明属于计算机网络安全技术领域,具体涉及一种WEB盗链防护方法。
背景技术
随着互联网技术的发展,网站不再局限于仅对外提供文字信息,图片、视频、音频这些多媒体信息大量出现在网站中,多媒体信息在丰富网站表现形式的同时也同样为网站带来安全问题,盗链攻击就是其中最明显的一种。盗链是指服务提供商自己不提供服务的内容,通过技术手段绕过其他有利的最终用户界面,直接在自己的网站上向最终用户提供其他服务提供商的服务内容,盗链攻击不需要提供资源或者提供极其少量的资源即可获得访问流量,但是真正的服务提供商却无法获得任何收益,并且由于图片、音频视频的访问需要占用大量的带宽资源,将会导致真正的服务器提供商的带宽被不法滥用。
目前,盗链防护手段从防护位置进行区分主要分为服务器端防护和客户端防护,例如申请号201410219140的专利公开了一种基于referer字段的盗链防护方法及Web网关,该方法通过检测referer字段中的地址信息与被保护Web服务器的入口地址信息是否一致来进行盗链防护,但是通过referer可以判断盗链,但是有些网站并没有携referer,甚至还有伪造的referer,所以referer方式并不可靠。
发明内容
为了解决现有技术中通过referer判断盗链时不可靠的技术问题,本发明提供一种WEB盗链防护方法,具体通过以下技术方案予以实现:
一种Web盗链防护方法,在客户端与被保护的Web服务器之间建立一个前置网关,所述的网关中配置有HTTP请求黑名单,所述的方法包括以下步骤:
A、所述的前置网关拦截来自客户端的HTTP请求报文;
B、判断该HTTP请求中的referer字段是否为空,若为空,跳转至步骤H,若不为空,跳转至步骤C;
C、获取HTTP请求中的referer字段数据,判断该referer字段中的地址信息与所述的WEB服务器的入口地址信息是否一致,若一致,则跳转至步骤D,若不一致,则将该丢弃该HTTP请求报文,并向客户端返回HTTP请求失败的响应;
D、判断该HTTP请求中的cookie字段是否为空,若为空,则将该丢弃该HTTP请求报文,并向客户端返回HTTP请求失败的响应;若不为空,则跳转至步骤F;
F、所述前置网关对该HTTP请求头进行检查,对请求头中cookie字段进行解密,得到客户端源IP和服务器标识符,判断该客户端源IP是否与当前发出Http请求的客户端源IP一致,若一致,则将该请求转发到所述的Web服务器进行响应;若不一致,将该丢弃该HTTP请求报文,并向客户端返回HTTP请求失败的响应;
H、判断该HTTP请求中的URL是否为前置网关配置的可信站点,若是,则将该请求转发到所述的Web服务器进行响应,并在服务器返回经过前置网关的时向响应头加入所述的盗链防护标识;若不是,则将该丢弃该HTTP请求报文,并向客户端返回HTTP请求失败的响应;
所述的盗链防护标识是利用客户端的源IP和服务器标识符通过加密算法生成的,所述的服务器标识符可在前置网关中自定义设置。
其中,方法还包括,在步骤A和步骤B之间还包括步骤G、判断所述的HTTP请求是否存在于所述的HTTP请求黑名单中,若存在,则将该丢弃该HTTP请求报文,并向客户端返回HTTP请求失败的响应。
其中,所的方法还包括,步骤C和步骤F中,当向客户端返回HTTP请求失败的响应时,同时将该HTTP请求的IP加入所述的HTTP请求黑名单中。
其中,述的盗链防护标识通过Hash算法或者加密算法生成。
其中,述的前置网关中配置有可信站点列表,所述的可信站点列表中存有服务器可信的URL。
以上技术方案与现有技术相比具有以下技术效果:
本发明提供的盗链防护方法,基于现有的通过referer防护盗链的方法,当客户端请求中不包含referer信息时,判断该客户端请求是否是可信站点,当referer字段地址信息与服务器地址信息一致时,进一步通过cookie进行判断时,前置网关生成一个盗链防护标识,然后重定向,其中盗链防护标识中包含客户端的源IP和服务器标识,并通过加密算法加密,当客户端再次访问时,将请求头中的盗链防护标识进行解密,判断解密出客户端源IP与当前发出请求的客户端源IP是否一致,进而进行响应或者丢弃该请求,对盗链的防护更加全面,同时将拒绝访问的客户端加入黑名单,下次访问时直接阻止,不需要经过后续的判断,提高了防护效率,为了防止盗链防护标识的泄露,本发明中的盗链防护标识通过Hash算法或者加密算法进行加密。
附图说明
图1是本发明的方法流程图;
具体实施方式
为使本发明的实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
一种WEB盗链防护方法,在客户端与被保护的Web服务器之间建立一个前置网关,所述的网关中配置有HTTP请求黑名单,如图1,所述的方法包括以下步骤:
A、前置网关拦截来自客户端的HTTP请求报文;
B、判断该HTTP请求中的referer字段是否为空,若为空,跳转至步骤H,若不为空,跳转至步骤C;
C、获取HTTP请求中的referer字段数据,判断该referer字段中的地址信息与所述的WEB服务器的入口地址信息是否一致,若一致,则跳转至步骤E,若不一致,则将该丢弃该HTTP请求报文,并向客户端返回HTTP请求失败的响应;
D、判断该HTTP请求中的cookie字段是否为空,若为空,则跳转至步骤E,若不为空,则跳转至步骤F;
F、所述前置网关对该HTTP请求头进行检查,对请求头中cookie字段进行解密,得到客户端源IP和服务器标识符,判断该客户端源IP是否与当前发出Http请求的客户端源IP一致,若一致,则将该请求转发到所述的Web服务器进行响应;若不一致,将该丢弃该HTTP请求报文,并向客户端返回HTTP请求失败的响应;
H、判断该HTTP请求中的URL是否为前置网关配置的可信站点,若是,则将该请求转发到所述的Web服务器进行响应,并在服务器返回经过前置网关的时向回应头加入所述的盗链防护标识;若不是,则将该丢弃该HTTP请求报文,并向客户端返回HTTP请求失败的响应。
盗链防护标识由前置网关生成,前置网关提取客户端源IP和服务器标识符,其中服务器标识符由用户在前置网关中自定义设置,本实施例设置为JUMP,本领域技术人员能够清楚地明白可通过Hash算法或者加密以及其他编码方式生成盗链防护标识。生成盗链防护标识之后,前置网关对该标识进行分发,前置网关通过HTTP响应状态码告知客户端该资源已经被转移,需要重新请求,同时在响应中增加Set-Cookie域,将盗链防护标识作为cookie域的字段设置到响应头中,当客户端得到该响应时将会重新请求资源,并将盗链防护标识作为Cookie域的一段内容写入请求中,当客户端继续在该域内访问时,均会将盗链防护标识作为Cookie域的一部分,前置网关接收到Http请求后,对请求头中的cookie字段进行解密,得到客户端源IP和服务器标识符,判断该客户端源IP是否与当前发出Http请求的客户源IP一致,若一致,则将该请求转发到所述的Web服务器进行响应;若不一致,将该丢弃该HTTP请求报文,并向客户端返回HTTP请求失败的响应。
基于现有的通过referer防护盗链的方法,当客户端请求中不包含referer信息时,进一步通过cookie进行判断时,前置网关生成一个盗链防护标识,然后重定向,当客户端再次访问时,在请求头中查看是否含有盗链防护标识,进而进行响应或者丢弃该请求,对盗链的防护更加全面。
其中,在步骤A和步骤B之间还包括步骤G、判断所述的HTTP请求是否存在于所述的HTTP请求黑名单中,若存在,则将该丢弃该HTTP请求报文,并向客户端返回HTTP请求失败的响应。
进一步的,还包括,步骤C和步骤F中,当向客户端返回HTTP请求失败的响应时,同时将该HTTP请求的IP加入所述的HTTP请求黑名单中。这样能实现黑名单的动态更新,当黑名单中的客户端下次再来访问时,直接拒绝其访问请求,这样无需后续的判断,提高了系统的防护效率。

Claims (4)

1.一种Web盗链防护方法,其特征在于,在客户端与被保护的Web服务器之间建立一个前置网关,所述的网关中配置有HTTP请求黑名单,所述的方法包括以下步骤:
A、所述的前置网关拦截来自客户端的HTTP请求报文;
B、判断该HTTP请求中的referer字段是否为空,若为空,跳转至步骤H,若不为空,跳转至步骤C;
C、获取HTTP请求中的referer字段数据,判断该referer字段中的地址信息与所述的WEB服务器的入口地址信息是否一致,若一致,则跳转至步骤D,若不一致,则将丢弃该HTTP请求报文,并向客户端返回HTTP请求失败的响应;
D、判断该HTTP请求中的cookie字段是否为空,若为空,则将丢弃该HTTP请求报文,并向客户端返回HTTP请求失败的响应;若不为空,则跳转至步骤F;
F、所述前置网关对该HTTP请求头进行检查,对请求头中cookie字段进行解密,得到客户端源IP和服务器标识符,判断该客户端源IP是否与当前发出Http请求的客户端源IP一致,若一致,则将该请求转发到所述的Web服务器进行响应;若不一致,将丢弃该HTTP请求报文,并向客户端返回HTTP请求失败的响应;
H、判断该HTTP请求中的URL是否为前置网关配置的可信站点,若是,则将该请求转发到所述的Web服务器进行响应,并在服务器返回经过前置网关的时向响应头加入所述的盗链防护标识;若不是,则将丢弃该HTTP请求报文,并向客户端返回HTTP请求失败的响应;
所述的前置网关中配置有可信站点列表,所述的可信站点列表中存有服务器可信的URL;
所述的盗链防护标识是利用客户端的源IP和服务器标识符通过加密算法生成的,所述的服务器标识符可在前置网关中自定义设置。
2.如权利要求1所述的方法,其特征在于,所述的方法还包括,在步骤A和步骤B之间还包括步骤G、判断所述的HTTP请求是否存在于所述的HTTP请求黑名单中,若存在,则将丢弃该HTTP请求报文,并向客户端返回HTTP请求失败的响应。
3.如权利要求1所述的方法,其特征在于,所述的方法还包括,步骤C和步骤F中,当向客户端返回HTTP请求失败的响应时,同时将该HTTP请求的IP加入所述的HTTP请求黑名单中。
4.如权利要求1所述的方法,其特征在于,所述的盗链防护标识通过Hash算法或者加密算法生成。
CN201710927014.1A 2017-10-09 2017-10-09 一种web盗链防护方法 Active CN107911336B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710927014.1A CN107911336B (zh) 2017-10-09 2017-10-09 一种web盗链防护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710927014.1A CN107911336B (zh) 2017-10-09 2017-10-09 一种web盗链防护方法

Publications (2)

Publication Number Publication Date
CN107911336A CN107911336A (zh) 2018-04-13
CN107911336B true CN107911336B (zh) 2022-02-25

Family

ID=61841045

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710927014.1A Active CN107911336B (zh) 2017-10-09 2017-10-09 一种web盗链防护方法

Country Status (1)

Country Link
CN (1) CN107911336B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110392022B (zh) * 2018-04-19 2022-04-05 阿里巴巴集团控股有限公司 一种网络资源访问方法、计算机设备、存储介质
CN109525613B (zh) * 2019-01-16 2021-11-09 湖南快乐阳光互动娱乐传媒有限公司 一种请求处理系统及方法
CN110311907A (zh) * 2019-06-28 2019-10-08 苏州浪潮智能科技有限公司 一种云平台反倒链方法与装置
CN110708328B (zh) * 2019-10-16 2022-04-05 南京焦点领动云计算技术有限公司 一种网站静态资源防盗链方法
CN111241541A (zh) * 2019-12-04 2020-06-05 珠海横琴电享科技有限公司 一种根据请求数据防爬虫系统和方法
CN111988644B (zh) * 2020-08-11 2022-08-16 乐视新生代(北京)文化传媒有限公司 网络视频的防盗链方法、装置、设备和存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572700A (zh) * 2009-02-10 2009-11-04 中科正阳信息安全技术有限公司 一种HTTP Flood分布式拒绝服务攻击防御方法
CN103067409A (zh) * 2013-01-21 2013-04-24 中国科学院信息工程研究所 一种web盗链防护方法及其网关系统
CN103957436A (zh) * 2014-05-13 2014-07-30 北京清源新创科技有限公司 一种基于ott业务的视频防盗链方法
CN103986735A (zh) * 2014-06-05 2014-08-13 北京赛维安讯科技发展有限公司 Cdn网络防盗系统及防盗方法
CN104079429A (zh) * 2014-05-22 2014-10-01 汉柏科技有限公司 一种基于referer字段的盗链防护的方法及Web网关
CN104348816A (zh) * 2013-08-07 2015-02-11 华为数字技术(苏州)有限公司 保护Cookie信息的方法及Web服务器前置网关

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020198859A1 (en) * 2001-06-22 2002-12-26 International Business Machines Corporation Method and system for providing web links

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101572700A (zh) * 2009-02-10 2009-11-04 中科正阳信息安全技术有限公司 一种HTTP Flood分布式拒绝服务攻击防御方法
CN103067409A (zh) * 2013-01-21 2013-04-24 中国科学院信息工程研究所 一种web盗链防护方法及其网关系统
CN104348816A (zh) * 2013-08-07 2015-02-11 华为数字技术(苏州)有限公司 保护Cookie信息的方法及Web服务器前置网关
CN103957436A (zh) * 2014-05-13 2014-07-30 北京清源新创科技有限公司 一种基于ott业务的视频防盗链方法
CN104079429A (zh) * 2014-05-22 2014-10-01 汉柏科技有限公司 一种基于referer字段的盗链防护的方法及Web网关
CN103986735A (zh) * 2014-06-05 2014-08-13 北京赛维安讯科技发展有限公司 Cdn网络防盗系统及防盗方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
反盗链技术研究;郑绍辉等;《计算机时代》;20080115;全文 *

Also Published As

Publication number Publication date
CN107911336A (zh) 2018-04-13

Similar Documents

Publication Publication Date Title
CN107911336B (zh) 一种web盗链防护方法
JP6144783B2 (ja) 情報中心のネットワークにおけるトラストアンカーを用いたプロトコルのルーティングに基づく名前/プレフィックスの増加
US9607132B2 (en) Token-based validation method for segmented content delivery
US9537721B2 (en) Network notifications
CN103067409B (zh) 一种web盗链防护方法及其网关系统
US9930037B2 (en) Encrypting a unique identification header to create different transactional identifiers
US10652215B2 (en) Secure anonymous communications methods and apparatus
US10798080B2 (en) User authentication in communication systems
US10785132B2 (en) Method and server for monitoring users during their browsing within a communications network
US20120185370A1 (en) System and method for tracking request accountability in multiple content delivery network environments
US20160127435A1 (en) Method for Delivering Advertising Content and/or Advertising Media and Communication System for Performing the Method
US20220300643A1 (en) Cryptographically secure data protection
Kayas et al. An overview of UPnP-based IoT security: threats, vulnerabilities, and prospective solutions
US12010106B2 (en) Preventing fraud in aggregated network measurements
CN107026828A (zh) 一种基于互联网缓存的防盗链方法及互联网缓存
CN115225934B (zh) 视频播放方法、系统、电子设备以及存储介质
CN111586344B (zh) 一种网络摄像机的消息发送方法及装置
JP6041634B2 (ja) 改竄検知装置及び改竄検知方法
CN117319088B (zh) 一种阻断违规外联设备的方法、装置、设备及介质
Shirwadkar The World Wide Web in the Face of Future Internet Architectures
CN117439739A (zh) 接口请求的安全防护方法及系统
CN116418661A (zh) 信息传输方法、装置、电子设备、软件程序及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant