部分网站允许空白referer的防盗链图片的js破解代码
function showImg( url ) {
var imgid = Math.random(),
frameid = 'frameimg' + imgid;
window['img'+imgid] = '<img id="img" src=\''+url+'?kilobug\' /><script>window.onload = function() { parent.document.getElementById(\''+frameid+'\').height = document.getElementById(\'img\').height+\'px\'; }<'+'/script>';
document.write('<iframe id="'+frameid+'" src="javascript:parent[\'img'+imgid+'\'];" frameBorder="0" scrolling="no" width="100%"></iframe>');
}
showImg('图片地址');
完整演示代码:
function showImg( url ) {
var frameid = 'frameimg' + Math.random();
window.img = 'window.onload = function() { parent.document.getElementById(\''+frameid+'\').height = document.getElementById(\'img\').height+\'px\'; }';
document.write('');
}
直接盗链:
js破解盗链:
showImg('http://image-7.verycd.com/5f95d1b249b411d069ecdb2c7a370e3c160890(600x)/thumb.jpg');
[Ctrl+A 全选 注:如需引入外部Js需刷新才能执行]
兼容性:已测试IE6、IE7、IE8、chrome 7、FF3.6、Opera10.63
防御方法:
1、不允许referer为空(不建议,因在某些开启隐私模式的浏览器中,或https页面引用下,referer是空的);
2、地址变更(lighttpd的是根据有效时间,nginx的根据是md5);
3、登录校验(如必须登录网站帐号后才能访问);
相关推荐
-
VBS伪造HTTP-REFERER的实现方法
在测试目录写了一个简单的referer.php,代码如下 复制代码 代码如下: <?php if (!isset($_SERVER["HTTP_REFERER"])) echo "No Referer"; else echo $_SERVER["HTTP_REFERER"]; ?> 如果直接点击上面的链接,那么页面会显示referer页面的链接. 复制代码 代码如下: Set http = CreateObject("msx
-
使用JavaScript和C#中获得referer
1. JavaScript 复制代码 代码如下: /** * 获取HTTP请求的Referer * @ishost 布尔类型 Referer为空时是否返回Host(网站首页地址) */ function get_http_referer(ishost) { if (ishost === undefined) { ishost = true; } if (document.referrer) { return document.referrer; }
-
完美兼容各大浏览器获取HTTP_REFERER方法总结
后来查了一些相关资料,发现在IE 中通过 window.location.href 或者是 是无法获取HTTP_REFERER, 真是搞不懂 IE 的浏览器,很多浏览器运行的很好的东西,它就是不支持,最后没有办法,只能PHP伪造来源HTTP_REFERER的方法或者用JS来伪造. IE可以识别的 HTTP_REFERER 提交是通过click 触发的事件或者是 Form 表单提交的请求,下面是根据网上的资料总结的一个方法: <script> function referURL(url){ va
-
javascript操作referer详细解析
Referrer的重要性HTTP请求中有一个referer的报文头,用来指明当前流量的来源参考页.例如在www.sina.com.cn/sports/上点击一个链接到达cctv.com首页,那么就referrer就是www.sina.com.cn/sports/了.在Javascript中,我们可以通过document.referrer来获取同样的信息.通过这个信息,我们就可以知道访客是从什么渠道来到当前页面的.这对于Web Analytics来说,是非常重要的,这可以告诉我们不同渠道带来的流量
-
使用php伪造referer的方法 利用referer防止图片盗链
什么是HTTP Referer简言之,HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器籍此可以获得一些信息用于处理.比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站.Referer其实应该是英文单词Referrer,不过拼错的人太多了,所以编写标准的人也就将错就错了.我的问题我刚刚把feed阅读器改变为Grega
-
用PHP伪造referer突破网盘禁止外连的代码
比如我放纳米盘里的文件http://img.namipan.com/downfile/da333ee178bdad6531d1ec1540cf86277c116b6300887600/02.Paid%20In%20Full.mp3 这个地址不能直接下载也不能在网页播放器里播放,点击下载转到了一个下载页面.要想能够直接下载这个文件或播放这个文件,那就要伪造referfer,欺骗服务器,referfer是来自纳米盘的链接. 最开始使用的方法是用PHP内置的函数stream_context_creat
-
部分网站允许空白referer的防盗链图片的js破解代码
Javascript源码: 复制代码 代码如下: function showImg( url ) { var imgid = Math.random(), frameid = 'frameimg' + imgid; window['img'+imgid] = '<img id="img" src=\''+url+'?kilobug\' /><script>window.onload = function() { parent.document.getElemen
-
isapi_rewrite的防盗链使用方法与规则代码
httpd.ini设置如下: RewriteCond Host: (.+) RewriteCond Referer: (?!http://\1.*).* RewriteRule .*\.(?:gif|jpg|png|exe|rar|zip) /Block.gif [I,O] 即可实现gif/jpg/png/exe/rar/zip文件的防盗链,盗链页面显示的是/Block.gif.Block.gif是一个体积较少的图片文件,我们可以在上面打上自己网站的版权标志和防盗链声明. 如果按照上面设置,则
-
JavaScript 防盗链的原理以及破解方法
HTTP Referer是header的一部分, 当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器藉此可以获得一些信息用于处理.通过该头域的值,我们可以检测到访问目标资源的源地址 背景 前段日子 在自学做项目的时候发现 明明在项目中引用了线上存在的图片 但是在自己的项目中却怎么也显示出来 查阅资料后发现是这些第三方网站设置了防盗链 破解防盗链 先说说防盗链的原理,http 协议中,如果从一个网页跳到另一个网页,http 头字段里面会带个
-
使用PHP破解防盗链图片的一个简单方法
有自己的主机一般都会设计"防盗链", 其实包括图片防盗链,和下载防盗链等,如:1.使用.htaccess设置防盗链 复制代码 代码如下: RewriteEngine onRewriteCond %{HTTP_REFERER} !^$RewriteCond %{HTTP_REFERER} !^http://(www\.)?jb51.net/.*$ [NC]RewriteRule \.(gif|jpg)$ http://www.jb51.net/image.gif [R,L] 2.ngin
-
Linux中Nginx的防盗链和优化的实现代码
隐藏版本号 未隐藏版本号,为了提高安全性,需要对版本号进行隐藏. 隐藏版本号实验 cd /usr/local/nginx/ ### 编辑配置文件 vim conf/nginx.conf 修改用户组 主进程使用root,子进程则通过nginx用户 vim conf/nginx.conf ### 指定用户组 user nginx nginx: 设置缓存时间 ### 被修改的配置文件 vim conf/nginx.conf 日志切割 下面就是日志分割脚本 #!/bin/bash day=$(date
-
php 破解防盗链图片函数
复制代码 代码如下: <?php $url=$_GET['url']; $ext=pathinfo($url,PATHINFO_EXTENSION); if($ext!='jpg' && $ext!='gif'){ // 只支持jpg和gif readfile('/upload/20081209130557536.gif'); exit; } $file=md5($url).'.'.$ext; if(file_exists($file)){ readfile($file); exit
-
python3 图片referer防盗链的实现方法
本篇文章主要破解referer防盗链技术 referer防盗链技术: referer防盗链技术是服务器通过检查客户端提起的请求包内的referer字段来阻止图片下载的,如果referer字段错误,服务器会跳到另一个地址,这将导致错误的图片下载. 上面已经了解到了referer防盗链技术,下面直接上代码. (我用的是python3,需要用到requests,html非系统包 下载方法:用python中的pip下载即可) import urllib.request import requests i
-
nginx利用referer指令实现防盗链配置
实现图片防盗链: location ~* \.(gif|jpg|png|webp)$ { valid_referers none blocked domain.com *.domain.com server_names ~\.google\. ~\.baidu\.; if ($invalid_referer) { return 403; #rewrite ^/ http://www.domain.com/403.jpg; } root /opt/www/image; } 以上所有来至domain
-
基于ISAPI Rewrite软件实现IIS图片防盗链方法
下面的操作,可能引起用户的反感,如果访客想从你这个页面,保存个图片都是不能的,用户体验何在啊. 实施步骤: 1.下载比较出名的www.helicontech.com提供的ISAPI Rewrite软件的免费版本(免费版本虽然有一些功能上的限制,但是做防盗链足够了): http://www.isapirewrite.com/download/isapi_rwl_x86_0072.msi 2.设置软件安装目录的IIS_WGP组的读写权限(重要,如果不设置安装完后你的网站就会直接Service Una
-
详解iis httpd.ini中IIS图片防盗链的方法
一.创建目录 e:Rewrite 把 Rewrite 下的四个文件(httpd.ini .httpd.parse.errors.mtbnotif.dll.Rewrite.dll)上传到这里. 二.设置IIS属性,选择网站属性,到ISAPI筛选器, 关闭属性对话框. 再次查看网站属性,到ISAPI筛选器 如果看到状态为向上的绿色箭头,就说明Rewrite模块安装成功了. 点添加,在名称中输入rewrite,可执行文件选择刚才解压后的文件Rewrite.dll,点确定:再点确定, 三.修改 e:Re
随机推荐
- asp.net session的使用与过期实例代码
- Struts2的输入校验实例代码
- js a标签点击事件
- 原生js编写基于面向对象的分页组件
- ThinkPHP关联模型操作实例分析
- php使用Session和文件统计在线人数
- c#判断字符是否为中文的三种方法分享(正则表达式判断)
- 简介JavaScript中Boolean.toSource()方法的使用
- Mysql使用索引实现查询优化
- ASP 常见对象总结(熟悉一下利用以后的开发使用)
- Android Studio打包.so库到apk中实例详解
- python3.3实现乘法表示例
- C#实现在listview中插入图片实例代码
- 怎么实现类的成员函数作为回调函数
- Android WebView使用方法详解 附js交互调用方法
- JavaScript BASE64算法实现(完美解决中文乱码)
- js模仿html5 placeholder适应于不支持的浏览器
- Intellij IDEA十大快捷键
- CentOS7.x卸载与安装MySQL5.7的操作过程及编码格式的修改方法
- java桌球小游戏 小球任意角度碰撞