簡(jiǎn)單有效的防盜鏈?zhǔn)侄?/p>
場(chǎng)景
如果做過(guò)個(gè)人站點(diǎn)的同學(xué),可能會(huì)遇到別人盜用自己站點(diǎn)資源鏈接的情況,這就是盜鏈。說(shuō)到盜鏈就要說(shuō)一個(gè) HTTP 協(xié)議的 頭部,referer 頭部。當(dāng)其他網(wǎng)站通過(guò) URL 引用了你的頁(yè)面,用戶在瀏覽器上點(diǎn)擊 URL 時(shí),HTTP 請(qǐng)求的頭部會(huì)通過(guò) referer 頭部將該網(wǎng)站當(dāng)前頁(yè)面的 URL 帶上,告訴服務(wù)器本次請(qǐng)求是由誰(shuí)發(fā)起的。
例如,在谷歌中搜索 Nginx 然后點(diǎn)擊鏈接:
在打開的新頁(yè)面中查看請(qǐng)求頭會(huì)發(fā)現(xiàn),請(qǐng)求頭中包含了 referer 頭部且值是 https://www.google.com/。
像谷歌這種我們是允許的,但是有一些其他的網(wǎng)站想要引用我們自己網(wǎng)站的資源時(shí),就需要做一些管控了,不然豈不是誰(shuí)都可以拿到鏈接。
目的
這里目的其實(shí)已經(jīng)很明確了,就是要拒絕非正常的網(wǎng)站訪問(wèn)我們站點(diǎn)的資源。
思路
- invalid_referer 變量referer 提供了這個(gè)變量,可以用來(lái)配置哪些 referer 頭部合法,也就是,你允許哪些網(wǎng)站引用你的資源。
referer 模塊
要實(shí)現(xiàn)上面的目的,referer 模塊可得算頭一號(hào),一起看下 referer 模塊怎么用的。
- 默認(rèn)編譯進(jìn) Nginx,通過(guò) --without-http_referer_module 禁用
referer 模塊有三個(gè)指令,下面看一下。
Syntax: valid_referers none | blocked | server_names | string ...;
Default: —
Context: server, location
Syntax: referer_hash_bucket_size size;
Default: referer_hash_bucket_size 64;
Context: server, location
Syntax: referer_hash_max_size size;
Default: referer_hash_max_size 2048;
Context: server, location
- valid_referers 指令,配置是否允許 referer 頭部以及允許哪些 referer 訪問(wèn)。
- referer_hash_bucket_size 表示這些配置的值是放在哈希表中的,指定哈希表的大小。
- referer_hash_max_size 則表示哈希表的最大大小是多大。
這里面最重要的是 valid_referers 指令,需要重點(diǎn)來(lái)說(shuō)明一下。
valid_referers 指令
可以同時(shí)攜帶多個(gè)參數(shù),表示多個(gè) referer 頭部都生效。
參數(shù)值
- none允許缺失 referer 頭部的請(qǐng)求訪問(wèn)
- block:允許 referer 頭部沒有對(duì)應(yīng)的值的請(qǐng)求訪問(wèn)。例如可能經(jīng)過(guò)了反向代理或者防火墻
- server_names:若 referer 中站點(diǎn)域名與 server_name 中本機(jī)域名某個(gè)匹配,則允許該請(qǐng)求訪問(wèn)
- string:表示域名及 URL 的字符串,對(duì)域名可在前綴或者后綴中含有 * 通配符,若 referer 頭部的值匹配字符串后,則允許訪問(wèn)
- 正則表達(dá)式:若 referer 頭部的值匹配上了正則,就允許訪問(wèn)
invalid_referer 變量
- 允許訪問(wèn)時(shí)變量值為空
- 不允許訪問(wèn)時(shí)變量值為 1
實(shí)戰(zhàn)
下面來(lái)看一個(gè)配置文件。
server {
server_name referer.ziyang.com;
listen 80;
error_log logs/myerror.log debug;
root html;
location /{
valid_referers none blocked server_names
*.ziyang.com www.ziyang.org.cn/nginx/
~.google.;
if ($invalid_referer) {
return 403;
}
return 200 'validn';
}
}
那么對(duì)于這個(gè)配置文件而言,以下哪些請(qǐng)求會(huì)被拒絕呢?
curl -H 'referer: http://www.ziyang.org.cn/ttt' referer.ziyang.com/
curl -H 'referer: http://www.ziyang.com/ttt' referer.ziyang.com/
curl -H 'referer: ' referer.ziyang.com/
curl referer.ziyang.com/
curl -H 'referer: http://www.ziyang.com' referer.ziyang.com/
curl -H 'referer: http://referer.ziyang.com' referer.ziyang.com/
curl -H 'referer: http://image.baidu.com/search/detail' referer.ziyang.com/
curl -H 'referer: http://image.google.com/search/detail' referer.ziyang.com/
我們需要先來(lái)解析一下這個(gè)配置文件。valid_referers 指令配置了哪些值呢?
valid_referers none blocked server_names
*.ziyang.com www.ziyang.org.cn/nginx/
~.google.;
- none:表示沒有 referer 的可以訪問(wèn)
- blocked:表示 referer 沒有值的可以訪問(wèn)
- server_names:表示本機(jī) server_name 也就是 referer.ziyang.com 可以訪問(wèn)
- *.ziyang.com:匹配上了正則的可以訪問(wèn)
- www.ziyang.org.cn/nginx/:該頁(yè)面發(fā)起的請(qǐng)求可以訪問(wèn)
- ~.google.:google 前后都是正則匹配
下面就實(shí)際看下響應(yīng):
# 返回 403,沒有匹配到任何規(guī)則
? ~ curl -H 'referer: http://www.ziyang.org.cn/ttt' referer.ziyang.com/
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.17.8</center>
</body>
</html>
? ~ curl -H 'referer: http://image.baidu.com/search/detail' referer.ziyang.com/
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
<hr><center>nginx/1.17.8</center>
</body>
</html>
# 匹配到了 *.ziyang.com
? ~ curl -H 'referer: http://www.ziyang.com/ttt' referer.ziyang.com/
valid
? ~ curl -H 'referer: http://www.ziyang.com' referer.ziyang.com/
valid
# 匹配到了 server name
? ~ curl -H 'referer: http://referer.ziyang.com' referer.ziyang.com/
valid
# 匹配到了 blocked
? ~ curl -H 'referer: ' referer.ziyang.com/
valid
# 匹配到了 none
? ~ curl referer.ziyang.com/
valid
# 匹配到了 ~.google.
? ~ curl -H 'referer: http://image.google.com/search/detail' referer.ziyang.com/
valid
防盜鏈另外一種解決方案:secure_link 模塊
referer 模塊是一種簡(jiǎn)單的防盜鏈?zhǔn)侄危仨氁蕾嚍g覽器發(fā)起請(qǐng)求才會(huì)有效,如果攻擊者偽造 referer 頭部的話,這種方式就失效了。
secure_link 模塊是另外一種解決的方案。
它的主要原理是,通過(guò)驗(yàn)證 URL 中哈希值的方式防盜鏈。
基本過(guò)程是這個(gè)樣子的:
- 由服務(wù)器(可以是 Nginx,也可以是其他 Web 服務(wù)器)生成加密的安全鏈接 URL,返回給客戶端
- 客戶端使用安全 URL 訪問(wèn) Nginx,由 Nginx 的 secure_link 變量驗(yàn)證是否通過(guò)
原理如下:
- 哈希算法是不可逆的
- 客戶端只能拿到執(zhí)行過(guò)哈希算法的 URL
- 僅生成 URL 的服務(wù)器,驗(yàn)證 URL 是否安全的 Nginx,這兩者才保存原始的字符串
- 原始字符串通常由以下部分有序組成:資源位置。如 HTTP 中指定資源的 URI,防止攻擊者拿到一個(gè)安全 URI 后可以訪問(wèn)任意資源用戶信息。如用戶的 IP 地址,限制其他用戶盜用 URL時(shí)間戳。使安全 URL 及時(shí)過(guò)期密鑰。僅服務(wù)器端擁有,增加攻擊者猜測(cè)出原始字符串的難度
模塊:
- ngx_http_secure_link_module未編譯進(jìn) Nginx,需要通過(guò) --with-http_secure_link_module 添加
- 變量secure_linksecure_link_expires
Syntax: secure_link expression;
Default: —
Context: http, server, location
Syntax: secure_link_md5 expression;
Default: —
Context: http, server, location
Syntax: secure_link_secret word;
Default: —
Context: location
變量值及帶過(guò)期時(shí)間的配置示例
- secure_link值為空字符串:驗(yàn)證不通過(guò)值為 0:URL 過(guò)期值為 1:驗(yàn)證通過(guò)
- secure_link_expires時(shí)間戳的值
命令行生成安全鏈接
- 生成 md5
echo -n '時(shí)間戳URL客戶端IP密鑰' | openssl md5 -binary | openssl base64 | tr +/ - | tr -d =
- 構(gòu)造請(qǐng)求 URL
/test1.txt?md5=md5生成值&expires=時(shí)間戳(如 2147483647)
Nginx 配置
- secure_link $arg_md5,$arg_expires;secure_link 后面必須跟兩個(gè)值,一個(gè)是參數(shù)中的 md5,一個(gè)是時(shí)間戳
- secure_link_md5 "$secure_link_expires$uri$remote_addr secret";按照什么樣的順序構(gòu)造原始字符串
實(shí)戰(zhàn)
下面是一個(gè)實(shí)際的配置文件,我這里就不做演示了,感興趣的可以自己做下實(shí)驗(yàn)。
server {
server_name securelink.ziyang.com;
listen 80;
error_log logs/myerror.log info;
default_type text/plain;
location /{
secure_link $arg_md5,$arg_expires;
secure_link_md5 "$secure_link_expires$uri$remote_addr secret";
if ($secure_link = "") {
return 403;
}
if ($secure_link = "0") {
return 410;
}
return 200 '$secure_link:$secure_link_expiresn';
}
location /p/ {
secure_link_secret mysecret2;
if ($secure_link = "") {
return 403;
}
rewrite ^ /secure/$secure_link;
}
location /secure/ {
alias html/;
internal;
}
}
僅對(duì) URI 進(jìn)行哈希的簡(jiǎn)單辦法
除了上面這種相對(duì)復(fù)雜的方式防盜鏈,還有一種相對(duì)簡(jiǎn)單的防盜鏈方式,就是只對(duì) URI 進(jìn)行哈希,這樣當(dāng) URI 傳
- 將請(qǐng)求 URL 分為三個(gè)部分:/prefix/hash/link
- Hash 生成方式:對(duì) “link 密鑰” 做 md5 哈希
- 用 secure_link_secret secret; 配置密鑰
命令行生成安全鏈接
- 原請(qǐng)求link
- 生成的安全請(qǐng)求/prefix/md5/link
- 生成 md5echo -n 'linksecret' | openssl md5 –hex
Nginx 配置
- secure_link_secret secret;
這個(gè)防盜鏈的方法比較簡(jiǎn)單,那么具體是怎么用呢?大家都在網(wǎng)上下載過(guò)資源對(duì)吧,不管是電子書還是軟件,很多網(wǎng)站你點(diǎn)擊下載的時(shí)候往往會(huì)彈出另外一個(gè)頁(yè)面去下載,這個(gè)新的頁(yè)面其實(shí)就是請(qǐng)求的 Nginx 生成的安全 URL。如果這個(gè) URL 被拿到的話,其實(shí)還是可以用的,所以需要經(jīng)常的更新密鑰來(lái)確保 URL 不會(huì)被盜用。
