HTTP Referer及防盗链

HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器我是从哪个页面链接过来的，服务器籍此可以获得一些信息用于处理。比如从我主页上链接到一个朋友那里，他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站。
Referer其实应该是英文单词Referrer，不过拼错的人太多了，所以编写标准的人也就将错就错了。
 
关于HTTP Referer使用非常简单，使用场合比较多的是用于页面统计、资源防盗链等，但还是有一点值得注意的是：Referer是不安全的，客户端可以通过设置改变 Request中的值，尽量不要用来进行安全验证等方面。
Referer是不安全的，客户端可以通过设置改变 Request中的值，尽量不要用来进行安全验证等方面；下面介绍下默认情况下Referer可能出现为空的场景：
1、页面从https跳转到http，应该是处于安全考虑，该点在RFC-2616中有说明，主流浏览器均遵守这个规则，比如IE、FF；但默认情况下https到https是会发送Referer的。
2、直接在浏览器中输入目标URL。
3、由于FF提供了很强大的自定义参数设置功能，所以我们可以通过about:config页面修改以下两个选项的默认设置：network.http.sendRefererHeader (default=2)，设置Referer的发送方式，0为完全不发送，1为只在点击链接时发送，在访问页面中的图像什么的时候不发送，2为始终发送。network.http.sendSecureXSiteReferrer (default=true)，设置从一个Https访问到另外Https页面的时候是否发送Referer，true为发送，false为不发送。 
4、从收藏夹访问。
5、单击’主页’或者自定义的地址
6、用js来window.open等方式打开（还有location.href，location.replace()）。

一.防盗链的概念

内容不在自己的服务器上，通过技术手段将其他网站的内容（比如一些音乐、图片、软件的下载地址）放置在自己的网站中，通过这种方法盗取其他网站的空间和流量。

二.防盗链的产生

一般情况下，http请求时，一个完整的页面并不是一次全部传送到客户端的。如果请求的是一个带有许多图片和其它信息的页面，那么最先的一个Http请求被传送回来的是这个页面的文本，然后通过客户端的浏览器对这段文本的解释执行，发现其中还有图片，那么客户端的浏览器会再发送一条Http请求，就这样一个完整的页面也许要经过发送多条Http请求才能够被完整的显示。基于这样的机制，就会产生一个问题，那就是盗链问题：就是一个网站中如果没有起页面中所说的信息，例如图片信息，那么它完全可以将这个图片的连接到别的网站。这样提高自己访问量的同时，加大了对别人服务器的负载。

三.防止恶意请求

比如静态请求是*.html结尾的，动态请求是*.shtml，那么由此可以这么用，所有的*.shtml请求，必须 Referer  为我自己的网站。
Referer=http://www.google.com
空Referer是怎么回事？什么情况下会出现Referer?
首先，我们对空 Referer  的定义为， Referer  头部的内容为空，或者，一个 HTTP  请求中根本不包含 Referer  头部。
那么什么时候 HTTP  请求会不包含 Referer  字段呢？根据Referer的定义，它的作用是指示一个请求是从哪里链接过来，那么当一个请求并不是由链接触发产生的，那么自然也就不需要指定这个请求的链接来源。
比如，直接在浏览器的地址栏中输入一个资源的URL地址，那么这种请求是不会包含 Referer  字段的，因为这是一个“凭空产生”的 HTTP  请求，并不是从一个地方链接过去的。
那么在防盗链设置中，允许空Referer和不允许空Referer有什么区别？
允许 Referer  为空，意味着你允许比如浏览器直接访问，就是空。

四.Java解决防盗链

我们可以设置一个过滤器，拦截所有请求，在外部请求过来时提取出http中的referer，然后再进行判断，如果是本网站的来源，那么允许访问，否则拒绝。

 所以我们可以实现一个Filter对特定请求实现监听，并且有：
   public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
            HttpServletRequest req = (HttpServletRequest) request;
            HttpServletResponse resp = (HttpServletResponse) response;
            String referer = req.getHeader("referer");
            if(null != referer && referer.trim().startsWith("http://localhost:8080/baidu")){
                 System.out.println("正常页面请求");
                 chain.doFilter(req, resp);
            }else{
                 System.out.println("盗链");
                 req.getRequestDispatcher("/html/error.html").forward(req, resp);
            }
 }