部分网站允许空白referer的防盗链图片的js破解代码

Javascript源码:


代码如下:

function showImg( url ) {
var imgid = Math.random(),
frameid = 'frameimg' + imgid;
window['img'+imgid] = '<img id="img" src=\''+url+'?kilobug\' /><script>window.onload = function() { parent.document.getElementById(\''+frameid+'\').height = document.getElementById(\'img\').height+\'px\'; }<'+'/script>';
document.write('<iframe id="'+frameid+'" src="javascript:parent[\'img'+imgid+'\'];" frameBorder="0" scrolling="no" width="100%"></iframe>');
}

调用方法:


代码如下:

showImg('图片地址');

完整演示代码:

function showImg( url ) {
var frameid = 'frameimg' + Math.random();
window.img = 'window.onload = function() { parent.document.getElementById(\''+frameid+'\').height = document.getElementById(\'img\').height+\'px\'; }';
document.write('');
}

直接盗链:

js破解盗链:

showImg('http://image-7.verycd.com/5f95d1b249b411d069ecdb2c7a370e3c160890(600x)/thumb.jpg');

[Ctrl+A 全选 注:如需引入外部Js需刷新才能执行]

兼容性:已测试IE6、IE7、IE8、chrome 7、FF3.6、Opera10.63

防御方法:
1、不允许referer为空(不建议,因在某些开启隐私模式的浏览器中,或https页面引用下,referer是空的);
2、地址变更(lighttpd的是根据有效时间,nginx的根据是md5);
3、登录校验(如必须登录网站帐号后才能访问);

(0)

相关推荐

  • javascript操作referer详细解析

    Referrer的重要性HTTP请求中有一个referer的报文头,用来指明当前流量的来源参考页.例如在www.sina.com.cn/sports/上点击一个链接到达cctv.com首页,那么就referrer就是www.sina.com.cn/sports/了.在Javascript中,我们可以通过document.referrer来获取同样的信息.通过这个信息,我们就可以知道访客是从什么渠道来到当前页面的.这对于Web Analytics来说,是非常重要的,这可以告诉我们不同渠道带来的流量

  • 用PHP伪造referer突破网盘禁止外连的代码

    比如我放纳米盘里的文件http://img.namipan.com/downfile/da333ee178bdad6531d1ec1540cf86277c116b6300887600/02.Paid%20In%20Full.mp3 这个地址不能直接下载也不能在网页播放器里播放,点击下载转到了一个下载页面.要想能够直接下载这个文件或播放这个文件,那就要伪造referfer,欺骗服务器,referfer是来自纳米盘的链接. 最开始使用的方法是用PHP内置的函数stream_context_creat

  • 使用php伪造referer的方法 利用referer防止图片盗链

    使用php伪造referer的方法 利用referer防止图片盗链

    什么是HTTP Referer简言之,HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理.比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站.Referer其实应该是英文单词Referrer,不过拼错的人太多了,所以编写标准的人也就将错就错了.我的问题我刚刚把feed阅读器改变为Grega

  • 完美兼容各大浏览器获取HTTP_REFERER方法总结

    后来查了一些相关资料,发现在IE 中通过 window.location.href 或者是 是无法获取HTTP_REFERER, 真是搞不懂 IE 的浏览器,很多浏览器运行的很好的东西,它就是不支持,最后没有办法,只能PHP伪造来源HTTP_REFERER的方法或者用JS来伪造. IE可以识别的 HTTP_REFERER 提交是通过click 触发的事件或者是 Form 表单提交的请求,下面是根据网上的资料总结的一个方法: <script> function referURL(url){ va

  • 使用JavaScript和C#中获得referer

    1. JavaScript 复制代码 代码如下: /**  * 获取HTTP请求的Referer  * @ishost 布尔类型 Referer为空时是否返回Host(网站首页地址)  */ function get_http_referer(ishost) {     if (ishost === undefined) { ishost = true; }     if (document.referrer) {         return document.referrer;     }

  • VBS伪造HTTP-REFERER的实现方法

    在测试目录写了一个简单的referer.php,代码如下 复制代码 代码如下: <?php if (!isset($_SERVER["HTTP_REFERER"])) echo "No Referer"; else echo $_SERVER["HTTP_REFERER"]; ?> 如果直接点击上面的链接,那么页面会显示referer页面的链接. 复制代码 代码如下: Set http = CreateObject("msx

  • 部分网站允许空白referer的防盗链图片的js破解代码

    部分网站允许空白referer的防盗链图片的js破解代码

    Javascript源码: 复制代码 代码如下: function showImg( url ) { var imgid = Math.random(), frameid = 'frameimg' + imgid; window['img'+imgid] = '<img id="img" src=\''+url+'?kilobug\' /><script>window.onload = function() { parent.document.getElemen

  • isapi_rewrite的防盗链使用方法与规则代码

    httpd.ini设置如下:  RewriteCond Host: (.+) RewriteCond Referer: (?!http://\1.*).* RewriteRule .*\.(?:gif|jpg|png|exe|rar|zip) /Block.gif [I,O] 即可实现gif/jpg/png/exe/rar/zip文件的防盗链,盗链页面显示的是/Block.gif.Block.gif是一个体积较少的图片文件,我们可以在上面打上自己网站的版权标志和防盗链声明. 如果按照上面设置,则

  • JavaScript 防盗链的原理以及破解方法

    JavaScript 防盗链的原理以及破解方法

    HTTP Referer是header的一部分, 当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器藉此可以获得一些信息用于处理.通过该头域的值,我们可以检测到访问目标资源的源地址 背景 前段日子 在自学做项目的时候发现 明明在项目中引用了线上存在的图片 但是在自己的项目中却怎么也显示出来 查阅资料后发现是这些第三方网站设置了防盗链 破解防盗链 先说说防盗链的原理,http 协议中,如果从一个网页跳到另一个网页,http 头字段里面会带个

  • 使用PHP破解防盗链图片的一个简单方法

    使用PHP破解防盗链图片的一个简单方法

    有自己的主机一般都会设计"防盗链", 其实包括图片防盗链,和下载防盗链等,如:1.使用.htaccess设置防盗链 复制代码 代码如下: RewriteEngine onRewriteCond %{HTTP_REFERER} !^$RewriteCond %{HTTP_REFERER} !^http://(www\.)?jb51.net/.*$ [NC]RewriteRule \.(gif|jpg)$ http://www.jb51.net/image.gif [R,L] 2.ngin

  • Linux中Nginx的防盗链和优化的实现代码

    Linux中Nginx的防盗链和优化的实现代码

    隐藏版本号 未隐藏版本号,为了提高安全性,需要对版本号进行隐藏. 隐藏版本号实验 cd /usr/local/nginx/ ### 编辑配置文件 vim conf/nginx.conf 修改用户组 主进程使用root,子进程则通过nginx用户 vim conf/nginx.conf ### 指定用户组 user nginx nginx: 设置缓存时间 ### 被修改的配置文件 vim conf/nginx.conf 日志切割 下面就是日志分割脚本 #!/bin/bash day=$(date

  • php 破解防盗链图片函数

    复制代码 代码如下: <?php $url=$_GET['url']; $ext=pathinfo($url,PATHINFO_EXTENSION); if($ext!='jpg' && $ext!='gif'){ // 只支持jpg和gif readfile('/upload/20081209130557536.gif'); exit; } $file=md5($url).'.'.$ext; if(file_exists($file)){ readfile($file); exit

  • python3 图片referer防盗链的实现方法

    本篇文章主要破解referer防盗链技术 referer防盗链技术: referer防盗链技术是服务器通过检查客户端提起的请求包内的referer字段来阻止图片下载的,如果referer字段错误,服务器会跳到另一个地址,这将导致错误的图片下载. 上面已经了解到了referer防盗链技术,下面直接上代码. (我用的是python3,需要用到requests,html非系统包 下载方法:用python中的pip下载即可) import urllib.request import requests i

  • nginx利用referer指令实现防盗链配置

    实现图片防盗链: location ~* \.(gif|jpg|png|webp)$ { valid_referers none blocked domain.com *.domain.com server_names ~\.google\. ~\.baidu\.; if ($invalid_referer) { return 403; #rewrite ^/ http://www.domain.com/403.jpg; } root /opt/www/image; } 以上所有来至domain

  • 基于ISAPI Rewrite软件实现IIS图片防盗链方法

    下面的操作,可能引起用户的反感,如果访客想从你这个页面,保存个图片都是不能的,用户体验何在啊. 实施步骤: 1.下载比较出名的www.helicontech.com提供的ISAPI Rewrite软件的免费版本(免费版本虽然有一些功能上的限制,但是做防盗链足够了): http://www.isapirewrite.com/download/isapi_rwl_x86_0072.msi 2.设置软件安装目录的IIS_WGP组的读写权限(重要,如果不设置安装完后你的网站就会直接Service Una

  • 详解iis httpd.ini中IIS图片防盗链的方法

    一.创建目录 e:Rewrite 把 Rewrite 下的四个文件(httpd.ini .httpd.parse.errors.mtbnotif.dll.Rewrite.dll)上传到这里. 二.设置IIS属性,选择网站属性,到ISAPI筛选器, 关闭属性对话框. 再次查看网站属性,到ISAPI筛选器 如果看到状态为向上的绿色箭头,就说明Rewrite模块安装成功了. 点添加,在名称中输入rewrite,可执行文件选择刚才解压后的文件Rewrite.dll,点确定:再点确定, 三.修改 e:Re

随机推荐