httpd防盗链

配置防盗链

为什么要配置防盗链
假如自己服务器是按照使用流量来计费使用的，如果网站中的图片等文件被直接引用到其他网站的文章当中，由于是复制图片的链接，实质上访问该部分内容还是直接向自己的服务器请求下载，这样一来的话会造成数据流量和网络资源增加，按量计费方式的话，那每月还需要付出额外不属于自己网站的流量付费，针对这种盗取别人网站文件资源的做法而配置防盗链，让复制的文件链接在本站以外的其他地方无法打开或正常显示
要实现防盗链，我们就必须先理解盗链的实现原理，提到防盗链的实现原理就不得不从HTTP协议说起，在HTTP协议中，有一个表头字段叫referer，采用URL的格式来表示从哪儿链接到当前的网页或文件。换句话说，通过referer，网站可以检测目标网页访问的来源网页，如果是资源文件，则可以跟踪到显示它的网页地址。有了referer跟踪来源就好办了，这时就可以通过技术手段来进行处理，一旦检测到来源不是本站即进行阻止或者返回指定的页面。

防盗链配置

[root@www conf]# less extra/httpd-vhosts.conf 
<Directory /usr/local/httpd/docs/123.com>
    SetEnvIfNoCase Referer "http://123,com" local_ref
    SetEnvIfNoCase Referer "http://abcd.com" local_ref
    SetEnvIfNoCase Referer "^$"  local_ref
    <FilesMatch "\.(txt|doc|mp3|zip|rar|jpg|gif|png)">
         Order Allow,Deny
         Allow from env=Local_ref
    </FilesMatch>
</Directory>

查看httpd主配置文件是否开启rewrite模块，未开启的话打开这行的配置

[root@www conf]# vim httpd.conf
LoadModule rewrite_module modules/mod_rewrite.so

重新加载虚拟主机中的配置

[root@www conf]# /usr/local/httpd/bin/apachectl -t
Syntax OK
[root@www conf]# /usr/local/httpd/bin/apachectl graceful

测试http中的防盗链，这里用png的图片来演示

[root@www 123.com]# curl -x127.0.0.1:80 123.com/girl.png -I
HTTP/1.1 403 Forbidden
Date: Mon, 30 Jul 2018 09:23:23 GMT
Server: Apache/2.4.33 (Unix) PHP/5.6.37
Content-Type: text/html; charset=iso-8859-1

由于访问的不是一个正常的网站，导致图片在测试当中无法正常显示，只能显示阻止链接的提示403 forbidden

访问控制Directory

访问控制可以用于控制访问后台管理页，针对后台管理设置访问权限，如限制ip，只允许指定ip进行访问
只允许127.0.0.1访问/usr/local/httpd/docs/123.com/admin/中的内容，其他的主机ip都不允许访问该目录下的内容。Order deny,allow  先拒绝所有请求再允许部分访问  Deny from all 拒绝所有的访问  Allow from  xunyu

<Directory /usr/local/httpd/docs/123.com/admin/>
      Order deny,allow
      Deny from all
      Allow from 127.0.0.1
</Directory>

验证访问控制限制

[root@www extra]# cd /usr/local/httpd/docs/123.com/
[root@www 123.com]# ls
girl.png index.php
[root@www 123.com]# mkdir admin
[root@www 123.com]# echo "1234556677" > 1.html
[root@www 123.com]# curl -x127.0.0.1:80 123.com/admin/1.html
1234556677
[root@www 123.com]# curl -x192.168.1.223:80 www.123.com/admin/1.html
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /admin/1.html
on this server.<br />
</p>
</body></html>
[root@www 123.com]# curl -x192.168.1.223:80 123.com/admin/1.html -I
HTTP/1.1 403 Forbidden
Date: Mon, 30 Jul 2018 12:00:19 GMT
Server: Apache/2.4.33 (Unix) PHP/5.6.37
Content-Type: text/html; charset=iso-8859-1

访问控制FilesMatch

FilesMatch控制访问，只允许指定ip访问指定的页面时在域名路径后添加任意字符，这里只允许回环地址访问，为了防止在web地址栏运行可执行的恶意代码

<Directory /usr/local/httpd/docs/123.com>
      <FilesMatch 1.html(.*)>
      Order deny,allow
      Deny from all
      Allow from 127.0.0.1
      </FilesMatch>
</Directory>

验证192.168.1.223不允许访问指定页面的ip的状态，127.0.0.1为能访问的状态，192.168.1.223访问指定的页面不能添加任何的字符，在访问非限制页面的后面能够添加任意的字符，如：

--------------------看网页内容---------------
[root@www extra]# curl -x127.0.0.1:80 www.123.com/admin/1.html?while 
1234556677
[root@www extra]# curl -x192.168.1.223:80 www.123.com/admin/1.html?while 
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /admin/1.html
on this server.<br />
</p>
</body></html>
-------------192.168.1.223查看非限制的网页且添加了任意字符
[root@www extra]# curl -x192.168.1.223:80 www.123.com/admin/index.php?while 
123.com<a href="www.123.com/girl.png">
图片
</a>
<img src="www.123.com/girl.png" />