個人博客: 斯科特安的時間
服務器作防盜鏈圖片中轉(zhuǎn)悉患,nodejs 上手項目簡明教程
前幾天隨手寫的 chrome 插件遇到了防盜鏈問題肩钠,由于插件不能用 js iframe 的方法反防盜鏈,于是想用服務器做個中轉(zhuǎn)兽间。
記錄一下上手項目的各個點历葛,以后再用 nodejs 就不用到處查資料了。
之前沒有一套特別熟悉的 web 開發(fā)框架渡八,加上插件存儲服務依賴的平臺 LeanCloud 剛好支持部署 nodejs 網(wǎng)站啃洋,剛好拿這個小項目作為 nodejs 上手項目传货。
怎么"破解防盜鏈"呢?
想要破解宏娄,就得先知道目標——防盜鏈如何實現(xiàn)问裕。
大多數(shù)站點的策略很簡單: 判斷request請求頭的refer是否來源于本站。若不是孵坚,拒絕訪問真實圖片粮宛。
而我們知道: 請求頭是來自于客戶端,是可偽造的卖宠。
思路
那么巍杈,我們偽造一個正確的refer來訪問不就行了?
整個業(yè)務邏輯大概像這樣:
- 自己的服務器后臺接受帶目標圖片
url參數(shù)的請求 - 偽造
refer請求目標圖片 - 把請求到的數(shù)據(jù)作為
response返回
這就起到了圖片中轉(zhuǎn)的作用。
1. 項目是什么樣子
1.1 接口的樣子?
- 有一個開放接口
- 接口有一個參數(shù)扛伍,
api?url=http://abc.com/image.png筷畦,大概長這樣子 - 響應內(nèi)容是反防盜鏈后的真實圖片
1.2 應該怎么做?
- 把服務器跑起來
- 處理 GET 請求
- 分析請求參數(shù)
- 下載原圖
- response 原圖
2. 學習路徑(在對目標未知的前提下提出疑問)
- 如何開始,建立服務器
- 如何處理基本請求 GET POST
- 如何下載圖片并轉(zhuǎn)發(fā)
- 完成基本功能刺洒,上線
- 優(yōu)化
2.1 如何開始鳖宾,建立服務器
主要是 http.createServer().listen(port) 這組方法,建立服務器逆航、監(jiān)聽端口一鍵搞定鼎文。
var http = require('http');
http.createServer(function (request, response) {
// do things here
}).listen(8888);
console.log('Server running at: 8888');
2.2 如何處理基本請求 GET POST
createServer 回調(diào)方法的兩個參數(shù) req res 是 http request 和 response 的內(nèi)容,打印一下他們的內(nèi)容因俐。
request 是 InComingMessage 類拇惋,打印它的 url 字段。
var http = require('http');
var url = require('url');
var util = require('util');
http.createServer(function(req, res){
res.writeHead(200, {'Content-Type': 'text/plain'});
res.end(util.inspect(url.parse(req.url, true)));
}).listen(3000);
請求
http://localhost:3000/api?url=http://abc.com/image.png
請求結(jié)果
Url {
protocol: null,
slashes: null,
auth: null,
host: null,
port: null,
hostname: null,
hash: null,
search: '?url=http://abc.com/image.png',
query: { url: 'http://abc.com/image.png' },
pathname: '/api',
path: '/api?url=http://abc.com/image.png',
href: '/api?url=http://abc.com/image.png' }
query 字段剛好是我們想要的內(nèi)容抹剩,下載這個字段對應的圖片撑帖。
2.3 如何下載圖片并轉(zhuǎn)發(fā)
request 模塊支持管道方法,可以和 shell 的管道一樣理解吧兔。
這可以省很多事磷仰,不需要在本地存儲圖片,不需要處理雜七雜八的事情境蔼,甚至不需要再去了解 nodejs 的流。一個方法全搞定伺通。
關鍵方法: request(options).pipe(res)
<pre>
var options = {
uri: imgUrl, // 這個 uri 為空時箍土,會認為該字段不存在,報異常
headers: {
'Referer': referrer // 解決部分防盜鏈選項
}
};
request(options).pipe(res);
</pre>
2.4 完成基本功能罐监,上線
完整代碼
'use strict';
var router = require('express').Router();
var http = require('http');
var url = require('url');
var util = require('util');
var fs = require('fs');
var callfile = require('child_process');
var request = require('request');
router.get('/', function(req, res, next) {
var imgUrl = url.parse(req.url, true).query.url;
console.log(url.parse(req.url,true).query);
console.log('get a request for ' + imgUrl);
if (imgUrl == null || imgUrl == "" || imgUrl == undefined) {
console.log('end');
res.end();
return;
}
var parsedUrl = url.parse(imgUrl);
// 這里暫時使用圖片服務器主機名做Referer
var referrer = parsedUrl.protocol + '//' + parsedUrl.host;
console.log('referrer ' + referrer);
var options = {
uri: imgUrl,
headers: {
'Referer': referrer
}
};
function callback(error, response, body) {
if (!error && response.statusCode == 200) {
console.log("type " + response.headers['content-type']);
}
res.end(response.body);
}
// request(options, callback);
request(options)
.on('error', function(err) {
console.log(err)
})
.pipe(res);
});
module.exports = router;
2.5 優(yōu)化
這部分主要是防盜鏈部分的優(yōu)化吴藻。
單就 Referer 來說,使用空值和主機名都只能滿足部分需求弓柱。
一個優(yōu)化方式是組合沟堡,當一種方式不能突破即采用另一種方式侧但。
這種方式的有點在于擴大了適用面積,并且方法對任何場景比較通用航罗。
一個優(yōu)化方式是接口請求參數(shù)帶源引用連接禀横。
這種方式對很多人來說不太通用,因為很多場景下并不清楚源引用連接在哪粥血。
但是對我的插件來說非常適用柏锄,插件本身保留了源引用。因此可以很好的繞過防盜鏈限制复亏。
