Asp.Net Core utilise un middleware pour empêcher la création de liens dynamiques d'images

1. Principe

Pour réaliser l'anti-hotlinking, nous devons d'abord comprendre le principe de mise en œuvre du hotlinking. Lorsqu'il s'agit du principe de mise en œuvre de l'anti-hotlinking, nous devons commencer par le protocole HTTP. Dans le protocole HTTP, il existe un champ d'en-tête appelé référent, qui utilise le format URL pour indiquer où créer un lien vers la page Web ou le fichier actuel. En d’autres termes, grâce au référent, le site Web peut détecter la page Web source visitée par la page Web cible, et s’il s’agit d’un fichier de ressources, il peut suivre l’adresse de la page Web qui l’affiche. Avec le référent qui suit la source, il est plus facile à gérer. À ce stade, il peut être traité par des moyens techniques. Une fois qu'il est détecté que la source n'est pas ce site, il sera bloqué ou renvoyé à la page spécifiée. Si vous souhaitez protéger votre site Web contre les hotlinking, vous devez traiter différentes situations différemment.

Si le serveur du site Web utilise Apache, l'utilisation de la fonction Url Rewrite fournie avec Apache peut facilement empêcher divers liens dynamiques. Le principe est de vérifier la référence si les informations de référence proviennent d'autres sites Web. Rediriger vers une image ou une page Web spécifiée.

Si le serveur utilise IIS, vous devez utiliser un plug-in tiers pour implémenter la fonction anti-hotlink. Un produit couramment utilisé s'appelle désormais ISAPI_Rewrite, qui peut implémenter l'anti-hotlink. fonction hotlink similaire à Apache. De plus, les forums peuvent également utiliser la méthode de « vérification de connexion » pour empêcher les hotlinks.

2. Implémenter l'anti-hotlinking

Implémentons maintenant la technologie anti-hotlinking dans ASP.NET Core pour protéger nos applications et nos fichiers de site. Cela nécessite d'utiliser la technologie middleware d'ASP.NET Core pour surveiller et traiter toutes les requêtes entrantes et vérifier si ces requêtes proviennent de notre application.

Créons ce middleware anti-hotlink :

public class HotlinkingPreventionMiddleware
{
  private readonly string _wwwrootFolder;
  private readonly RequestDelegate _next;
 
  public HotlinkingPreventionMiddleware(RequestDelegate next, IHostingEnvironment env)
  {
    _wwwrootFolder = envWebRootPath;
    _next = next;
  }
 
  public async Task Invoke(HttpContext context)
  {
    var applicationUrl = $"{contextRequestScheme}://{contextRequestHostValue}";
    var headersDictionary = contextRequestHeaders;
    var urlReferrer = headersDictionary[HeaderNamesReferer]ToString();
 
    if(!stringIsNullOrEmpty(urlReferrer) && !urlReferrerStartsWith(applicationUrl))
    {
      var unauthorizedImagePath = PathCombine(_wwwrootFolder,"Images/Unauthorizedpng");
         
      await contextResponseSendFileAsync(unauthorizedImagePath);
    }
       
    await _next(context);
  }
}

Dans ce middleware, nous pouvons voir ASP The Request objet dans NET. Core n'encapsule pas le Referrer. Si vous souhaitez obtenir le Referrer, vous devez y accéder via les en-têtes HTTP.

Généralement, il existe une extension IApplicationBuilder :

public static class BuilderExtensions
{
  public static IApplicationBuilder UseHotlinkingPreventionMiddleware(this IApplicationBuilder app)
  {
    return appUseMiddleware();
  }
}

Enfin, pour l'utiliser, il suffit de l'appeler dans le Configure fonction.

app.UseHotlinkingPreventionMiddleware();

3. Peut-on vraiment le défendre ?

Comment percer l'anti-sangsue ? Quant à la manière de vérifier la référence, vous pouvez d'abord saisir une autre page de l'adresse de destination dans le middleware de la page, puis accéder à la page de destination. De cette façon, la référence de la page est celle du site de destination. une percée est réalisée. Il existe de nombreux outils qui peuvent être utilisés à cet égard, en particulier des packages de test de projets Web matures, tels que HtmlUnit, qui peuvent définir une référence directement dans la requête.

Si le site Web volé utilise le protocole https et que le lien de l'image est http, la requête initiée de https vers http n'inclura pas de référent en raison des règles de sécurité, contournant ainsi l'anti-hotlinking.

Enfin, je peux seulement dire que cette méthode ne peut défendre que dans une certaine mesure, et qu'il est impossible d'éliminer toutes les attaques. Il est toujours recommandé d'utiliser des solutions d'application serveur matures, comme Nginx.

Ce qui précède représente l'intégralité du contenu de cet article. J'espère qu'il sera utile à l'apprentissage de chacun. J'espère également que tout le monde soutiendra le site Web PHP chinois.

Pour plus d'articles sur l'utilisation du middleware par Asp.Net Core pour empêcher les liens dynamiques d'images, veuillez prêter attention au site Web PHP chinois !