防盗链基本原理（web安全测试实例二）

• 假设B站点作为一个商业网站，有很多自主版权的图片，自身展示用于商业目的。而A站点，希望在自己的网站上面也展示这些图片，直接使用：

<img src="http://b.com/photo.jpg"/>

这样，大量的客户端在访问A站点时，实际上消耗了B站点的流量，而A站点却从中达成商业目的。从而不劳而获。这样的A站点着实令B站点不快的。如何禁止此类问题呢？

目前是这样处理的：

一类是：站内跳转时，referer请求为空，另一类是：与合作网站A的交互，referer传网站A地址，除开这两类情况，referer中其他来源的访问，均被拦截，请求不进行响应

 

• HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器该网页是从哪个页面链接过来的，服务器因此可以获得一些信息用于处理。

功能：计算网页上的链接访问量

参照：

1.https://baike.baidu.com/item/HTTP_REFERER/5358396   HTTP Referer

2.https://cloud.tencent.com/developer/article/1054615           防盗链 

=======================================================

实例如下：

在fiddler 中，在composer tab中模拟请求，在Raw复制抓包到的header信息，并修改referer为外链接地址，执行请求，查看是否能正常响应（期望：不能访问目标页面）

或者，抓包后，进行请求拦截，在发送数据包前，将header中的referer修改为外链地址。

方法一、

 方法二、

 

 

 

 访问后，返回的404页面，满足预期（这是整改后的效果）

========================================================

跨域访问，需要再了解、学习