关于图片防盗链，困扰多年一直没解决

30826

没一个说到点的……
当然用动态地址+密钥验证了，这玩意现在没人破解得了。
（爬虫模拟正常访问另说，那种你也防不住）
Nginx模块就自带动态防盗链功能：
http://nginx.org/en/docs/http/ngx_http_secure_link_module.html
改下程序的图片加载方式就可以了。

今晚我是你的

30826 发表于 2018-12-27 08:06
没一个说到点的……
当然用动态地址+密钥验证了，这玩意现在没人破解得了。
（爬虫模拟正常访问另说，那种 ...

大佬，弱弱问一下无头浏览器算正常访问吗

今晚我是你的

30826 发表于 2018-12-27 08:06
没一个说到点的……
当然用动态地址+密钥验证了，这玩意现在没人破解得了。
（爬虫模拟正常访问另说，那种 ...

刚才去搜了下，这个好像只能下载服务器的文件用。不能图片用吧

30826

今晚我是你的 发表于 2018-12-27 08:11
大佬，弱弱问一下无头浏览器算正常访问吗

当然，内核都一样，模拟正常访问，普通判断不出来的。

zhxhwyzh14

flash 发表于 2018-12-26 19:16
几乎 99%的图片，是可以采集的。偶至今只碰到国外有部分站，除了另存，就无法采集和下载，少数连另存都不 ...

截图可以吗？哈哈

30826

今晚我是你的 发表于 2018-12-27 08:21
刚才去搜了下，这个好像只能下载服务器的文件用。不能图片用吧

当然可以图片用，是第一个secure_link，不是后面的secure_link_md5和secure_link_secret。

例如原本路径是：
http://abc.com/1.jpg

设置完以后你的图片访问必须要两个参数：
http://abc.com/1.jpg?time=1545872400&hash=83d67381a83cfa2f

time就是当前访问时间，hash是根据你指定算法md5加密后的密钥。
正因为加密方式是你自己定义的，所以盗链者没法破解。

例如你设置密钥生成模式为：hash=md5(time+abc123)，后面这个abc123是你自定义的加密干扰值。
然后你在程序端使用这段md5生成hash，再把time和hash都传入服务器。
Nginx那边同样根据传入time和你设定好的md5加密方式生成hash，核对两个hash是否一致。
因为外界不知道abc123这个加密干扰值，所以他们自然没法破解你的图片访问密钥。

30826

不过楼主你到底防的是盗链还是采集？这完全是两码事。
盗链是你的图片能被其他网站随便引用，即便你设置了判断referer，对方网页加一个：
<meta name="referrer" content="never">
就能让访客所有访问请求不带referer，轻轻松松盗链。
我这个主要是针对这种，让其他网站没法获取到你图片的固定地址，所以也没法盗链。
至于采集这个是没法防止的，采集器完全可以模拟真实访问爬出你所有图片地址，即便是加密后的。

30826

采集你就记住一点，凡是能被人类看到的，采集器都可以爬取出来。
我自己就是写采集器的，见过最难搞的采集是把每副图片切成几十份，然后前端用JS脚本拼成完整图片。
当然如果我愿意花精力的话完全可以按照他前端的拼图方式写出一个采集后的拼图程序。
最好的防采集方法还是给网站内容设置权限，哪些内容必须会员才能浏览。
当然也是防不胜防，你会员说不好就把内容全都泄露出去了。
一般直接右键另存为，你的图片就能搞下来。

今晚我是你的

30826 发表于 2018-12-27 08:51
不过楼主你到底防的是盗链还是采集？这完全是两码事。
盗链是你的图片能被其他网站随便引用，即便你设置了 ...

谢谢大佬码了这么多字，我主要是防爬虫采集。因为老有人恶意重复爬浪费我带宽。