场景
最近公司项目需求中涉及到需要引用微信朋友圈中的图片资源,结果被腾讯的防盗链系统拦截,所有的图片都变成了令人尴尬的模样。今天咱们讨论的主题即看我如何习得化解之法
防盗链
盗链是指未经资源代理站点许可而擅自引用其资源。防盗链就是这些资源代理站点,为了避免盗链行为而采取的一种很常见的屏蔽措施,我们这里主要讨论图片方面的防盗链及相关的解决方案
成功引起注意
当时近距离遇到防盗链:这么神奇,这是怎么实现的?
随即chromeF12->开发者工具,取出显示成防盗链样式的图片URL,发现和源链接没有区别。新开一个tab,Ctrl+V->Enter,什么鬼?能正常显示啊!腾讯真nb?能知道我是直接浏览器打开而不是偷偷塞到img标签的src?
直觉告诉我,肯定两种方式发送的请求图片的Request Header有区别
分析
反手就是一个F12,首先是有防盗链现象的图片的请求信息
再反手又是一个new tab,键入图片url,F12
这样对比看的话就很清楚了,两者不同之处再Request Headers里面的Referer请求头,关于Referer,引用MDN的解释:
The Referer request header contains the address of the previous web page from which a link to the currently requested page was followed. The Referer header allows servers to identify where people are visiting them from and may use that data for analytics, logging, or optimized caching, for example.
大概意思就是说Referer包含请求发起者的URL,这样腾讯方就可以拿到请求源相关信息,然后根据请求源URL来进行判断校验,这样就可以知道请求方是否在盗链
不过如此,哈哈哈...
但是,怎么破?绝望。。。
解决方案
目前常用方法无外乎两种,第一种是通过第三方跳板服务:
这些服务一般多是通过后端代理的方式暴露出跳板api,使用方在调用时通过传参的方式将要请求的url传到代理服务器,代理服务器作为中间方再去请求腾讯资源代理服务器的图片资源,拿到资源后返还给调用方,之前有一些稳定的跳板服务,比如QQ浏览器(一家人应该不会有问题)提供的
http://read.html5.qq.com/image?src=forum&q=5&r=0&imgflag=7&imageUrl=
在上述链接后面给出原始图片的url,然后就可以坐等QQ跳板服务为我们取回想要的图片
然鹅。。。
果然是一家人。。。
只能尝试第二种方式了
第二种方案就是让浏览器发图片请求时,请求头不带上Referer头信息。像这种控制代理动作,一般通过meta标签来进行设置,最终在meta找到了想要的
referrer controlling the content of the HTTP Referer HTTP header attached to any request sent from this document:
参考上面的取值含义,我们只需要在所需页面的<head>中加上:
<meta name="referrer" content="no-referrer" />
效果图
Referer没了,图片也正常显示了[手动滑稽笑脸]
Tips
- 细心的朋友会发现,html的meta设置属性为referrer,而http请求头里面却是referer,原因是早期http标准制订的那一波同仁,将referrer拼错为referer[手动尴尬],后续版本为了兼容以前版本,不得已一错再错
- 盗链可耻,如果非商用项目可以尝试下本文提到的方案
- 既然写到这里,帮朋友打个广告,广告见上图,需要者联系:HAIYU-JIANG,坐标杭州融创·河滨之城
