個(gè)人博客: 斯科特安的時(shí)間
服務(wù)器作防盜鏈圖片中轉(zhuǎn),nodejs 上手項(xiàng)目簡明教程
前幾天隨手寫的 chrome 插件遇到了防盜鏈問題,由于插件不能用 js iframe 的方法反防盜鏈,于是想用服務(wù)器做個(gè)中轉(zhuǎn)。
記錄一下上手項(xiàng)目的各個(gè)點(diǎn),以后再用 nodejs 就不用到處查資料了。
之前沒有一套特別熟悉的 web 開發(fā)框架,加上插件存儲(chǔ)服務(wù)依賴的平臺(tái) LeanCloud 剛好支持部署 nodejs 網(wǎng)站,剛好拿這個(gè)小項(xiàng)目作為 nodejs 上手項(xiàng)目。
怎么"破解防盜鏈"呢?
想要破解,就得先知道目標(biāo)——防盜鏈如何實(shí)現(xiàn)。
大多數(shù)站點(diǎn)的策略很簡單: 判斷request請求頭的refer是否來源于本站。若不是,拒絕訪問真實(shí)圖片。
而我們知道: 請求頭是來自于客戶端,是可偽造的。
思路
那么,我們偽造一個(gè)正確的refer來訪問不就行了?
整個(gè)業(yè)務(wù)邏輯大概像這樣:
- 自己的服務(wù)器后臺(tái)接受帶目標(biāo)圖片
url參數(shù)的請求 - 偽造
refer請求目標(biāo)圖片 - 把請求到的數(shù)據(jù)作為
response返回
這就起到了圖片中轉(zhuǎn)的作用。
1. 項(xiàng)目是什么樣子
1.1 接口的樣子?
- 有一個(gè)開放接口
- 接口有一個(gè)參數(shù),
api?url=http://abc.com/image.png,大概長這樣子 - 響應(yīng)內(nèi)容是反防盜鏈后的真實(shí)圖片
1.2 應(yīng)該怎么做?
- 把服務(wù)器跑起來
- 處理 GET 請求
- 分析請求參數(shù)
- 下載原圖
- response 原圖
2. 學(xué)習(xí)路徑(在對(duì)目標(biāo)未知的前提下提出疑問)
- 如何開始,建立服務(wù)器
- 如何處理基本請求 GET POST
- 如何下載圖片并轉(zhuǎn)發(fā)
- 完成基本功能,上線
- 優(yōu)化
2.1 如何開始,建立服務(wù)器
主要是 http.createServer().listen(port) 這組方法,建立服務(wù)器、監(jiān)聽端口一鍵搞定。
var http = require('http');
http.createServer(function (request, response) {
// do things here
}).listen(8888);
console.log('Server running at: 8888');
2.2 如何處理基本請求 GET POST
createServer 回調(diào)方法的兩個(gè)參數(shù) req res 是 http request 和 response 的內(nèi)容,打印一下他們的內(nèi)容。
request 是 InComingMessage 類,打印它的 url 字段。
var http = require('http');
var url = require('url');
var util = require('util');
http.createServer(function(req, res){
res.writeHead(200, {'Content-Type': 'text/plain'});
res.end(util.inspect(url.parse(req.url, true)));
}).listen(3000);
請求
http://localhost:3000/api?url=http://abc.com/image.png
請求結(jié)果
Url {
protocol: null,
slashes: null,
auth: null,
host: null,
port: null,
hostname: null,
hash: null,
search: '?url=http://abc.com/image.png',
query: { url: 'http://abc.com/image.png' },
pathname: '/api',
path: '/api?url=http://abc.com/image.png',
href: '/api?url=http://abc.com/image.png' }
query 字段剛好是我們想要的內(nèi)容,下載這個(gè)字段對(duì)應(yīng)的圖片。
2.3 如何下載圖片并轉(zhuǎn)發(fā)
request 模塊支持管道方法,可以和 shell 的管道一樣理解。
這可以省很多事,不需要在本地存儲(chǔ)圖片,不需要處理雜七雜八的事情,甚至不需要再去了解 nodejs 的流。一個(gè)方法全搞定。
關(guān)鍵方法: request(options).pipe(res)
<pre>
var options = {
uri: imgUrl, // 這個(gè) uri 為空時(shí),會(huì)認(rèn)為該字段不存在,報(bào)異常
headers: {
'Referer': referrer // 解決部分防盜鏈選項(xiàng)
}
};
request(options).pipe(res);
</pre>
2.4 完成基本功能,上線
完整代碼
'use strict';
var router = require('express').Router();
var http = require('http');
var url = require('url');
var util = require('util');
var fs = require('fs');
var callfile = require('child_process');
var request = require('request');
router.get('/', function(req, res, next) {
var imgUrl = url.parse(req.url, true).query.url;
console.log(url.parse(req.url,true).query);
console.log('get a request for ' + imgUrl);
if (imgUrl == null || imgUrl == "" || imgUrl == undefined) {
console.log('end');
res.end();
return;
}
var parsedUrl = url.parse(imgUrl);
// 這里暫時(shí)使用圖片服務(wù)器主機(jī)名做Referer
var referrer = parsedUrl.protocol + '//' + parsedUrl.host;
console.log('referrer ' + referrer);
var options = {
uri: imgUrl,
headers: {
'Referer': referrer
}
};
function callback(error, response, body) {
if (!error && response.statusCode == 200) {
console.log("type " + response.headers['content-type']);
}
res.end(response.body);
}
// request(options, callback);
request(options)
.on('error', function(err) {
console.log(err)
})
.pipe(res);
});
module.exports = router;
2.5 優(yōu)化
這部分主要是防盜鏈部分的優(yōu)化。
單就 Referer 來說,使用空值和主機(jī)名都只能滿足部分需求。
一個(gè)優(yōu)化方式是組合,當(dāng)一種方式不能突破即采用另一種方式。
這種方式的有點(diǎn)在于擴(kuò)大了適用面積,并且方法對(duì)任何場景比較通用。
一個(gè)優(yōu)化方式是接口請求參數(shù)帶源引用連接。
這種方式對(duì)很多人來說不太通用,因?yàn)楹芏鄨鼍跋虏⒉磺宄匆眠B接在哪。
但是對(duì)我的插件來說非常適用,插件本身保留了源引用。因此可以很好的繞過防盜鏈限制。
