网站安全狗防盗链让网站资源更安全
说明:这次我们使用2台服务器进行防盗链测试,IP:192.168.73.128和192.168.73.129。192.168.73.128和192.168.73.129服务器内都架设基本的网站,架构模式为windows2003+iis+asp+access,192.168.73.129装有我们的网站安全狗(这里我们用虚拟机进行模拟)。我们用192.168.73.128盗取192.168.73.129的链接,具体过程我们就不多作说明,通过系统日志可以看到盗链的具体情况并且访问被盗链接时候会出现报错页面。分别如下图所示:图表 1.非法盗链日志信息
图表 2.访问被盗链接的报错信息
所谓盗链是指服务提供商自己不提供服务的内容,通过技术手段绕过其它有利益的最终用户界面(如广告),直接在自己的网站上向最终用户提供其它服务提供商的服务内容,骗取最终用户的浏览和点击率。受益者不提供资源或提供很少的资源,而真正的服务提供商却得不到任何的收益。通过开启防盗链功能能更好的保护网站的资源,具体开启方式如下图所示:
图表 3.开启网站资源防盗链功能
网站安全狗的防盗链有两种防护方式,分别是引用方式和会话方式。引用方式主要用于图片,下载资源等类型的防盗链(如JPG图片,GIF图片,RAR等下载资源)并且支持跨域名。会话方式主要用于流媒体类型的防盗链(如MP3,WMA等在线播放资源),会话方式只支持同一顶级域名但是两者都支持跨服务器。
①.引用方式
引用方式:是通过判断referer变量的值来判断图片或资源的引用是否合法,只有在设定范围内的referer,才能访问指定的资源,从而实现了防盗链的目的。引用方式能够让本域名和其他指定信任域名正常链接被保护资源。具体设置方法如下图所示:
图表 4.防护方式—引用方式开启设置
为了用户的使用方便,网站安全狗同时可以对信任域名添加白名单,信任域名将不在网站资源防盗链功能的防护之内,用户可以通过新增,删除,修改对信任域名进行操作,操作完成后必须进行保存才能生效,具体设置如下图所示:
图表 5.设置信任域名
用户可以自定义的添加保护资源类型,为了更人性化的设置,我们由客户对网站资源进行自定义设置,用户可以通过新增,删除来添加保护资源类型,同时需要注意的是保护资源类型扩展名不需要.符号,只需刷入纯粹的扩展名,如rar。
具体设置如下图所示:
图表 6.保护资源类型设置
对于多站点的网站服务器用户可以自由设置不受防护的网站,避免一些需要对外开通资源链接的网站无法正常运营,可以通过新增和删除对不受防护的站点进行设置,具体如下图所示:
图表 7.设置不受防护的网站
和众多模块一样,在捕获盗链攻击时,服务器会自动返回一个友情提示,用户可以自己设置友情提示的文字内容,具体设置如下图所示:
图表 8.设置捕获盗链攻击时服务器返回的信息
②.会话方式
所谓会话反盗链方式,先从客户端获取用户信息,然后根据这个信息和用户请求的文件名字一起加密成字符串(Session ID)作为身份验证。只有当认证成功以后,服务端才会把用户需要的文件传送给客户。一般我们会把加密的Session ID作为URL参数的一部分传递给服务器,由于这个Session ID和用户的信息挂钩,所以别人就算是盗取了链接,该Session ID也无法通过身份认证,从而达到反盗链的目的。这种方式对于分布式盗链非常有效。会话方式的具体设置如下图所示:
图表 9.会话方式
根据会话方式的定义描述,我们针对浏览器访问用户资源时设置了两种基本的浏览器行为,基于内存和基于文件。基于内存指的是浏览器访问资源链接时候产生的cookie不会写入文件,在关闭浏览器时cookie就会消失。而基于文件方式就是cookie会写入文件中但是有个过期时间,浏览器关闭后cookie不会消失。界面右边的用户名和密码就是系统自动从客户端获取到的用户信息,因为是自动获取所以一般默认设置即可无须进行更改,用户可以根据自己的需要选择这两种方式对资源进行防护,具体如下图所示:
图表 10.浏览器行为设置
同时和引用方式一样保护资源类型(需要注意的是保护资源类型扩展名不需要.符号,只需刷入纯粹的扩展名,如rar。),不受防护的网站和捕获盗链攻击时服务器返回信息的提示都可以由用户自己进行设置。具体设置分别如下图所示:
图表 11.保护资源类型设置
图表 12.不受防护的网站设置
图表 13. 服务器返回信息提示
页:
[1]