如何防止Cloudflare CDN背后的图片被盗连(Hotlink Protection)?

发布于

「Hotlink Protection」(直接链接保护)是经营网站经常需要去注意的一块,但为什么我们会需要「Hotlink Protection」呢?身为图文并茂的网络文章作家,最担心得就是自己的文章被别人整篇连文带图地拷贝粘贴到其它地方了。此时如果图片有套用「Hotlink Protection」的话,就可以让被盗用的图片在其它网站上「不被正常显示」出来,如此一来,就能使其它误入盗文页面的访客可以知道该篇文章是篇被盗用的文章。不同的网站架构有不同的「Hotlink Protection」的设置方式,如果您的网站有打开Cloudflare的CDN服务的话,可以参考这篇文章,来实现「Hotlink Protection」的功能。

我的网站服务器是用Nginx或Apache,难道不能直接对它们做设置吗?

很遗憾,只要我们有激活Cloudflare的CDN服务,就无法有效地通过自己的服务器程序来设置Hotlink Protection。这是因为网页浏览器在打开您网站的图片时,会去链接Cloudflare的CDN服务器,而非我们自己的服务器,所以就算我们有在自己的服务器上制作Hotlink Protection的功能,也根本不会被触发到。

既然有Cloudflare CDN,为什么还要Hotlink Protection?被盗连的图,其流量不是不会算在我们头上吗?

的确,有了Cloudflare CDN之后,就算图片被盗连,它主要也还是会去吃Cloudflare CDN服务器的流量。但是,您真的愿意让您文章中的图片原封不动地在盗文网站上显示出来吗?所以还是设置一下Hotlink Protection吧!

Cloudflare内置的Hotlink Protection开关

Cloudflare的控制后台中,其实就有提供一个一键套用Hotlink Protection的开关,只要打开来,就可以让有激活CDN功能的网域拥有Hotlink Protection的功能。这个开关藏在Cloudflare控制后台的「Scrape Shield」分页中。

cloudflare-hotlink-protection

这个Hotlink Protection一旦打开,整个有打开Cloudflare CDN服务的网域(包含子网域)下的图片链接,就只能在这整个网域(包含子网域)下打开,否则的话会直接回传HTTP的403状态(Forbidden)。这个开关确实很方便,但它完全不能做其它额外的设置。也就是说,如果您只想要让部份图片链接有Hotlink Protection,或是也想把其它网域纳入白名单的话,这个功能就不太合用了。

用Cloudflare的Workers来实作Hotlink Protection

Cloudflare提供的「Workers」可以针对有打开CDN服务的网域加入额外的中介程序。中介程序所使用的编程语言为JavaScript,建议使用Chrome浏览器或是其它以Chromium为内核的浏览器来做这个小节的动作。

cloudflare-hotlink-protection

官方也有在文档中提供Hotlink Protection的代码样板:

https://developers.cloudflare.com/workers/templates/#hot_link_protection

addEventListener('fetch', event => {

  event.respondWith(fetchAndApply(event.request))

})

 

/**

 * If the browser is requesting an image and 

 * the referer does not match your host

 * we redirect the request to your page

 */

async function fetchAndApply(request) {

  // Fetch the response.

  let response = await fetch(request)

 

  // If it's an image, engage hotlink protection based on the

  // Referer header.

  let referer = request.headers.get('Referer')

  let contentType = response.headers.get('Content-Type') || ''

  if (referer && contentType.startsWith('image/')) {

    // It's an image and there's a Referer. Verify that the

    // hostnames match.

    if (new URL(referer).hostname !==

        new URL(request.url).hostname) {

      // Hosts don't match. This is a hotlink. Redirect the

      // user to our homepage.

      return new Response('', {

        status: 302,

        headers: {

          'Location': '/'

        }

      })

    }

  }

 

  // Everything is fine, return the response normally.

  return response

}

以上这个样板,可以限制图片链接,只能够在相同的网域中被打开。如果是不同的网域,就会被暂时转址到该图片链接网域的首页。

若要使用这个样板,我们需要先打开Cloudflare的「Workers」编辑器。

cloudflare-hotlink-protection

接着创建一个新的脚本(Script),脚本名称自订。在此笔者将这个脚本的名称取为「image-hotlink-protection」。

cloudflare-hotlink-protection

cloudflare-hotlink-protection

接着先不要去编辑脚本,先来到路径(Route)的设置分页。

cloudflare-hotlink-protection

添加要套用脚本的网址,网址可以使用星号「*」来符合所有字符串组合。以本站来说,本站的图床网域为「img.magiclen.org」,文章中所有的图片都放置在这个「img.magiclen.org」网域下,因此笔者填入的网址为「https://img.magiclen.org/*」。

cloudflare-hotlink-protection

cloudflare-hotlink-protection

添加好网址后,就可以回去脚本分页,编辑刚才添加的脚本。

cloudflare-hotlink-protection

将样板的代码粘贴。

cloudflare-hotlink-protection

接着就可以改改这个样板代码,使它更符合我们的需求。以本站的情况来说,我们希望被盗连的图,可以转而去连「https://magiclen.org/images/OG-image.jpg」,所以就去修改回传的HTTP标头的「Location」字段,直接将网址填入。这边要注意的是,填进「Location」字段的网址,最好不要去激活Hotlink Protection。

cloudflare-hotlink-protection

同样再以本站的情况来说,我们希望我们的图床「img.magiclen.org」,可以至少在本站网域「magiclen.org」和子网域中正常使用。因此去修改原先判断「hostname」的方式,如下图:

cloudflare-hotlink-protection

脚本程序撰写完后,就可以按下「Deploy」(部署)按钮来套用。

cloudflare-hotlink-protection

来源:https://magiclen.org/cloudflare-hotlink-protection/

评论

发表评论

此博客中的热门博文

awk查看与统计nginx访问日志

发布于
切割日志 查找7月16日访问log导出到17.log文件中: cat web_access.log | egrep "17/Jul/2017" | sed -n '/00:00:00/,/23:59:59/p' > /tmp/16.log 查看访问量前10的IP awk '{print $1}' web_access.log | sort | uniq -c | sort -nr | head -n 10 查看访问前10的URL awk '{print $11}' web_access.log | sort | uniq -c | sort -nr | head -n 10 查询访问最频繁的URL awk '{print $7}' web_access.log | sort | uniq -c | sort -n -k 1 -r | more 查询访问最频繁的IP awk '{print $1}' web_access.log | sort | uniq -c | sort -n -k 1 -r | more 根据访问IP统计UV awk '{print $1}' web_access.log | sort | uniq -c | wc -l 统计访问URL统计PV awk '{print $7}' web_access.log | wc -l 根据时间段统计查看日志 cat web_access.log | sed -n '/17\/Jul\/2017:12/,/17\/Jul\/2017:13/p' | more https://blog.csdn.net/zhengholien/article/details/78006887
阅读全文

百度网盘资源搜索网站大全

发布于
https://www.h2ero.com/    [闪电云]  https://www.aisouziyuan.com/    [爱搜资源]  http://www.pansoso.com/    [盘搜搜]  https://www.yunpanjingling.com/    [云盘精灵]  https://www.52sopan.com/    [我爱搜盘]  https://yunpanem.com/    [云盘恶魔]  http://www.xiaobaipan.com/    [小白盘]  https://nyaso.com/    [喵搜动漫]  https://www.fqsousou.com/    [番茄搜搜]  http://www.shiyue.org/    [十月搜索]  http://www.sopanba.com/    [搜盘吧]  https://www.xiaobd.net/    [小不点搜索]  http://www.panduoduo.net/    [盘多多]  http://www.slimego.cn/    [史莱姆]  http://www.kengso.com/    [坑搜网]  http://www.repanso.com    [热盘搜]  http://www.panmeme.com/    [盘么么]  http://wx01.51caichang.com/    [51网盘]  http://wx.haogow.com/    [西部维度]  http://wx.xingtuhua.com/    [商务中国]...
阅读全文

ELK实时分析之php的laravel项目日志

发布于
最近因公司项目增多,且环境也越来复杂,开发人员找我查看错误日志越来越频繁,心里便念想到ELK,心之所想,念之所达,快来get一项新技能吧 1、系统架构组成 laravel日志:日志源通过filebeat将日志写进redis中间件 logstsh:logstash通过input将redis数据拿来分析,通过其filter模块分析所需要的语句,然后输出到elasticsearch 3.elasticsearch 接收logstash发送过来的数据,并提供了一个分布式多用户能力的全文搜索引擎 Kibana是一个优秀的前端日志展示框架,它可以非常详细的将日志转化为各种图表,为用户提供强大的数据可视化支持。 二、各个服务的ip地址 laravel: 172.18.109.227 redis: 172.18.215.207 elasticsearch: 172.18.215.207 kibana: 172.18.215.207 复制代码 三、laravel日志服务器配置: 配置filebeat yum源文件 [elastic-5.x] name=Elastic repository for 5.x packages baseurl=https://artifacts.elastic.co/packages/5.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type =rpm-md 复制代码 安装filebeat yum install filebeat 复制代码 配置filebeat配置文件 ... #写入源 - input_type: log paths: - /var/www/html/*/storage/logs/laravel-2018-12-29.log ... #输出至redis output.redis: # Array of hosts to connect to. hosts: [ "172.18.215.207:6379" ] password: "***********" db: 0 timeout: 5...
阅读全文

Windows 操作系统微软官方镜像

发布于
  Windows 发布信息详细版本 常用系统版本(按发布日期最新到最旧) 系统大小(ISO) 是否需要激活 ISO文件SHA-1 相关工具 Windows 10 简体中文企业版2019长期服务版64位 4.71GB 是 24B59706D5EDED392423936C82BA5A83596B50CC HEU_KMS & MAS Windows 10 简体中文企业版2019长期服务版32位 2.98GB 是 BA2169EDD94F123211CD4AACA68352F1AB6195D9 HEU_KMS & MAS Windows 10 简体中文企业版2016长期服务版64位 3.56GB 是 9E405E950890D2A196565BCA35E152F9CFAD296D HEU_KMS & MAS Windows 10 简体中文企业版2016长期服务版32位 2.62GB 是 0422052F25C9C8DF983F3B287F725860AAB907CF HEU_KMS & MAS Windows 7 With SP1 简体中文旗舰版64位 3.19GB 是 2CE0B2DB34D76ED3F697CE148CB7594432405E23 小马OEM7F周年纪念版 & Chew-WGA Windows 7 With SP1 简体中文旗舰版32位 2.47GB 是 B92119F5B732ECE1C0850EDA30134536E18CCCE7 小马OEM7F周年纪念版 & Chew-WGA Windows XP SP3 简体中文专业版 601.04MB 是(也可说否) D142469D0C3953D8E4A6A490A58052EF52837F0F MRX3F-47B9T-2487J-KWKMF-RPWBY Microsoft VC++ 运行库官方安装包 Microsoft Visual C++ Redistributable 所有历史版本官方下载连接 https://cdn.jsdelivr.net/gh/abbodi1406/vcredist...
阅读全文

kubernetes的Headless Services

发布于
1.什么是Headless Services Headless Services是一种特殊的service,其spec:clusterIP表示为None,这样在实际运行时就不会被分配ClusterIP。 2.Headless Services使用场景(客户端负载) 服务端负载:正常的service 下面挂的是Endpoints(podIP数组),通过iptables规则转发到实际的POD上 客户端负载:Headless Services不会分配ClusterIP,而是将Endpoints(即podIP数组)返回,也就将服务端的所有节点地址返回,让客户端自行要通过负载策略完成负载均衡。 3.实践 #nginx yaml [ root@node1 yaml ] # cat nginx . yaml apiVersion : v1 kind : Service metadata : name : nginx - service spec : selector : app : nginx - demo ports : - port : 80 name : nginx clusterIP : None -- - apiVersion : apps / v1beta1 kind : Deployment metadata : name : nginx - dp spec : serviceName : "nginx-service" replicas : 1 template : metadata : labels : app : nginx - demo spec : containers : - name : nginx image : nginx : 1.7 .9 ports : - containerPort : 80 name : web [ root@node1 ~ ] # kubectl get svc NAME TYPE ...
阅读全文

微信小程序小总结

发布于
微信小程序使用起来感觉像写h5一样,对于新手估计会有比较多疑惑,如果撇去这些想法应该是很快就能上手的一套开发方案。 但是它自身的限制也比较大,如不提供window对象会导致一些功能实现起来比较麻烦。我这次开发的小程序就遇到了,虽然比较快找到解决办法(可能都是比较标准化的东西),希望之后不会有其他大坑。 需要其实比较简单,就是两页文章列表及文章详情页,刚上手却遇到下面的坑: 无法利用window对象解析xml 不支持HTML标签的使用 怎样兼容Promise和generator异步 刚开始一脸懵逼...后来赶紧去github看看各大牛例子及一些工具就解决了。 解析xml问题 由于比较多的解析插件都是基于 window.DOMParser 处理的,在小程序却无用武之地。找到问题就好解决,我要的是 DOMParser 而不是window找找应该有代替品,然后找到这个 xmldom 引入代替掉 DOMParser 就解决,然后把xml转成json处理了。 评论有问道如何改,这里我已经把这个整合到 这库 了。 解析html问题 现在比较成熟的是 wxParse 这货,的确大部分的html标签均能解析渲染,但是我这边程序录入的富文本内容却掺杂了些奇奇怪怪的标签,解析时还是会出错,内容解析到一半就停了...既然它做不到忽略,咋整?那把那些垃圾都过滤掉吧!!!马上用上 js-xss 这个来处理问题,能控制过滤的标签及标签能拥有的属性,方便得很。 const xss = require ( '../lib/js-xss/xss' ) const WxParse = require ( '../../lib/wxParse/wxParse.js' ) //把style及class添加到白名单。 Object .keys(xss.whiteList).forEach( name => xss.whiteList[name] = xss.whiteList[name].concat([ 'style' , 'class' ])) let content = xss( '<div>HTML文本</div>' , ...
阅读全文

详解 Kubernetes StatefulSet 实现原理

发布于
在 Kubernetes 的世界中, ReplicaSet 和 Deployment 主要用于处理无状态的服务,无状态服务的需求往往非常简单并且轻量,每一个无状态节点存储的数据在重启之后就会被删除,虽然这种服务虽然常见,但是我们仍然需要有状态的服务来实现一些特殊的需求,StatefulSet 就是 Kubernetes 为了运行有状态服务引入的资源,例如 Zookeeper、Kafka 等。 这篇文章会介绍 Kubernetes 如何在集群中运行有状态服务,同时会分析这些有状态服务 StatefulSet 的同步过程以及实现原理。 概述 StatefulSet 是用于管理有状态应用的工作负载对象,与 ReplicaSet 和 Deployment 这两个对象不同,StatefulSet 不仅能管理 Pod 的对象,还它能够保证这些 Pod 的顺序性和唯一性。 与 Deployment 一样,StatefulSet 也使用规格中声明的 template 模板来创建 Pod 资源,但是这些 Pod 相互之间是不能替换的;除此之外 StatefulSet 会为每个 Pod 设置一个单独的持久标识符,这些用于标识序列的标识符在发生调度时也不会丢失。 apiVersion : apps/v1 kind : StatefulSet metadata : name : web spec : serviceName : "nginx" replicas : 2 selector : matchLabels : app : nginx template : metadata : labels : app : nginx spec : containers : - name : nginx image : k8s.gcr.io/nginx - slim : 0.8 volumeMounts : - name : www mountPath : /usr/share/nginx/html volumeClaimTemplat...
阅读全文

无线路由器不同价位选购小抄

发布于
再贵的路由器都不会有多大的覆盖范围和穿墙能力,双拳难敌四手,要覆盖大信号好只能多买几台组mesh。 手机,网卡基本是2x2设备,连上4x4方案的路由,理论最大速率要除以2。 水星是tplink马甲,基本是一样的主板,水星便宜买水星就好了。 推荐的通常越高价位无线质量越好,但是300以上的路由器提升幅度显著下降。 小米原厂固件对旁路由支持有问题。 同价位排在越靠前说明越推荐。 # 100以内-能用就行 水星D121G MESH ¥79 3千兆网口WIFI5 mt7628(单核0.6mips) 2.4g-主芯片集成-40mhz-64QAM(2×2)(300m) 5g -mt7612 -80mhz-256QAM(2×2)(867m)   同价位最中庸,功能都有,体验一般。同方案有千兆变百兆的水星d121(3百兆网口)和水星d12(4百兆网口)还能再便宜几块钱。虽然能组mesh,但不推荐。 【二手】   天邑TY300 MESH 闲鱼¥79   运营商定制 5千兆网口WIFI6 128MB BCM6750(三核1.5a7)+散热片 2.4g-bcm43217+外置功放-40mhz-64QAM(2×2)(300m) 5g -主芯片集成+外置功放-80mhz-1024QAM(2×2)(1.2g)   同价位mesh首选。非常划算,这个方案虽然信号一般,但是架不住便宜。   同方案的ty400有usb3.0,3个千兆口。    TY6201A是bcm6755方案,价格有点高,等降价。 【二手】小米路由器mini   ¥30 3千兆网口WIFI5 mt7620(单核0.6mips)+散热板+第三方固件 2.4g-mt7603+外置LNA+屏蔽罩-40mhz-64QAM(2×2)(300m) 5g -mt7612e+屏蔽罩 -80mhz-256QAM(2×2)(867m)   体验还可以最便宜的路由器,有5Ghz,同方案中做工精良,还有USB口。 【二手】中兴E8820 V2 【48元】 64MBram   散热片   USB2 友华wr1200js 128MBram   USB2 newifi 3 512MBram   屏蔽罩   散热板   USB3 mt7621(双...
阅读全文

使用杜威十进制分类法构建自己的笔记系统(也可用于文件夹分类)

发布于
不论是用印象笔记等软件做个人知识管理,还是电脑中的文件分类管理。最常见的、普遍存在、必须首先解决的问题 : 不会建笔记本或文件夹体系,找不到理想的笔记本/文件夹分类。 文件和资料在电脑里杂乱堆放的情况是非常常见的。因为新建文件夹实在太容易了,不像实物的笔记本或者文件夹那样,完全不需要什么成本,随之带来的一个问题就是我们随心所欲,随心情: 想怎么建笔记本就怎么建,想怎么命名笔记本就怎么命名,笔记本的层级想建几层就建几层; 今天按时间建一个2018年6月的笔记本,明天按照自己的兴趣爱好建一个电影笔记本,后天,按工作流程建一个工作总结笔记本,自己也不知道自己有哪些笔记本,整理完笔记,不知道可以移放到哪个笔记本里,甚至,你可能发现放到这个笔记本里面也合适,放到那个笔记本里面也合适! 如果你同时好几个笔记本放进去都合适,那说明就「都不合适」!是吧?「到底应该把这个笔记放到哪个笔记本里去?」你可能想了2分钟,也没有正确答案,然后,大腿一拍,算了,不整理了! 所有当初的任性,都有以后的代价 。如果「随性」地收纳大脑精神食粮,等日后要用的时候,找一个资料就像大海捞针,苦不堪言了。 今天,我们的主题是关于笔记本分类的方法论,以印象笔记为例,帮你打造受用终生的笔记本体系和文件夹体系,而且是一次设置,终生受用。 1. 一次搭建,终生受用! 我的笔记本体系非常简洁,分成三大部分: 第一部分,inbox笔记本体系 ;inbox是一套高效搜集信息、克服信息混杂的处理机制,我们将全部信息来源汇集到1个inbox里面,就可以驾驭海量信息,让大脑的精神食粮少而精; 第二部分,用唯一维度搭建主体知识库,一招完成信息整理分类 。我用唯一维度分类,分成工作、学习、生活和兴趣爱好四类笔记本组,用这种方法搭建主体知识库,将庞杂的信息整理分类; 第三部分:用存档笔记本归档信息 。人生就是一个信息流,这些知识是一直在流动的。所以,当我「翻篇」的时候,例如我转行了之后,之前CPA学习的内容,之前做审计项目时的客户资料和工作笔记就都暂时用不到了,我就都会把它们全部归档。注意了,这里的归档绝非删除,以后想用这些资料还可以调取出来。 所以,我的笔记本体系,1万篇笔记,100多个笔记本,其实就分成三大类:inbox体系=搜集信息;唯一维度搭建主体知识库=整理分类信息;存档笔记本=归档信息。 1.1 Inbox原理 Inbo...
阅读全文