Asp.Net Core verwendet Middleware, um Bild-Hotlinking zu verhindern

1. Prinzip

Um Anti-Hotlinking zu erreichen, müssen wir zunächst das Implementierungsprinzip von Anti-Hotlinking verstehen Im HTTP-Protokoll gibt es ein Header-Feld namens Referer, das im URL-Format angibt, wo auf die aktuelle Webseite oder Datei verlinkt werden soll. Mit anderen Worten: Über den Referrer kann die Website die von der Zielwebseite besuchte Quellwebseite erkennen und, wenn es sich um eine Ressourcendatei handelt, die Webseitenadresse verfolgen, die sie anzeigt. Wenn der Referrer die Quelle verfolgt, ist die Handhabung zu diesem Zeitpunkt einfacher. Sobald festgestellt wird, dass es sich bei der Quelle nicht um diese Site handelt, wird sie blockiert oder an die angegebene Seite zurückgegeben. Wenn Sie Ihre Website vor Hotlinking schützen möchten, müssen Sie verschiedene Situationen unterschiedlich behandeln.

Wenn der Website-Server Apache verwendet, kann die Verwendung der mit Apache gelieferten URL-Rewrite-Funktion problemlos verschiedene Hotlinks verhindern. Das Prinzip besteht darin, die Verweisinformationen zu überprüfen. Leiten Sie zu einem bestimmten Bild oder einer bestimmten Webseite weiter.

Wenn der Server IIS verwendet, müssen Sie ein Plug-in eines Drittanbieters verwenden, um die Anti-Hotlink-Funktion zu implementieren. Ein häufig verwendetes Produkt heißt ISAPI_Rewrite und kann die Anti-Hotlink-Funktion implementieren. Hotlink-Funktion ähnlich wie Apache. Darüber hinaus können Foren auch die Methode „Login-Verifizierung“ verwenden, um Hotlinking zu verhindern.

2. Anti-Hotlinking implementieren

Lassen Sie uns nun die Anti-Hotlinking-Technologie in ASP.NET Core implementieren, um unsere Anwendungen und Site-Dateien zu schützen. Dies erfordert den Einsatz der Middleware-Technologie in ASP.NET Core, um alle eingehenden Anfragen zu überwachen und zu verarbeiten und zu prüfen, ob diese Anfragen von unserer Anwendung stammen.

Lassen Sie uns dieses Anti-Hotlink-Middleware-Programm erstellen:

public class HotlinkingPreventionMiddleware
{
  private readonly string _wwwrootFolder;
  private readonly RequestDelegate _next;
 
  public HotlinkingPreventionMiddleware(RequestDelegate next, IHostingEnvironment env)
  {
    _wwwrootFolder = envWebRootPath;
    _next = next;
  }
 
  public async Task Invoke(HttpContext context)
  {
    var applicationUrl = $"{contextRequestScheme}://{contextRequestHostValue}";
    var headersDictionary = contextRequestHeaders;
    var urlReferrer = headersDictionary[HeaderNamesReferer]ToString();
 
    if(!stringIsNullOrEmpty(urlReferrer) && !urlReferrerStartsWith(applicationUrl))
    {
      var unauthorizedImagePath = PathCombine(_wwwrootFolder,"Images/Unauthorizedpng");
         
      await contextResponseSendFileAsync(unauthorizedImagePath);
    }
       
    await _next(context);
  }
}

In dieser Middleware können wir ASP sehen Core kapselt den Referrer nicht. Um den Referrer zu erhalten, müssen Sie über HTTP-Header darauf zugreifen.

Im Allgemeinen gibt es eine IApplicationBuilder-Erweiterung:

public static class BuilderExtensions
{
  public static IApplicationBuilder UseHotlinkingPreventionMiddleware(this IApplicationBuilder app)
  {
    return appUseMiddleware();
  }
}

Um sie schließlich zu verwenden, müssen Sie sie nur im Konfigurieren aufrufen Funktion. Funktion.

app.UseHotlinkingPreventionMiddleware();

3. Kann es wirklich verteidigt werden?

Wie kann man die Blutegelbekämpfung durchbrechen? Um den Verweis zu überprüfen, können Sie zunächst eine andere Seite der Zieladresse in die Seiten-Middleware eingeben und dann zur Zielseite wechseln. Auf diese Weise ist der Verweis der Seite der eigene der Zielseite. ein Durchbruch gelingt. Es gibt viele Tools, die in dieser Hinsicht verwendet werden können, insbesondere ausgereifte Webprojekt-Testpakete wie HtmlUnit, die direkt in der Anfrage verweisen können.

Wenn die gestohlene Website das https-Protokoll verwendet und der Bildlink http ist, enthält die von https an http initiierte Anfrage aus Sicherheitsgründen keinen Referrer, wodurch Anti-Hotlinking umgangen wird.

Abschließend kann ich nur sagen, dass diese Methode nur bis zu einem gewissen Grad abwehren kann und es unmöglich ist, alle Angriffe zu beseitigen. Es wird weiterhin empfohlen, ausgereifte Serveranwendungslösungen wie Nginx zu verwenden.

Das Obige ist der gesamte Inhalt dieses Artikels. Ich hoffe, dass er zum Lernen aller beiträgt. Ich hoffe auch, dass jeder die PHP-Chinesisch-Website unterstützt.

Weitere verwandte Artikel über die Verwendung von Middleware durch Asp.Net Core zur Verhinderung von Bild-Hotlinks finden Sie auf der chinesischen PHP-Website!