English
 电子信箱
 加入收藏

  威盾防火墙 >> 新闻中心 >> 威盾新闻 >> 部分网站允许空白referer的防盗链图片的js破解代码
 

部分网站允许空白referer的防盗链图片的js破解代码

威盾防火墙 2014-12-08
 
主要是有些网站的图片调用是防盗链的但一般只是判断referer是不是自己网站,如果referer为空也会显示图片,所以有了下面的代码。
Javascript源码: 
复制代码代码如下:

function showImg( url ) { 
var imgid = Math.random(), 
frameid = 'frameimg' + imgid; 
window['img'+imgid] = '<img id="img" src=\''+url+'?kilobug\' /><script>window.onload = function() { parent.document.getElementById(\''+frameid+'\').height = document.getElementById(\'img\').height+\'px\'; }<'+'/script>'; 
document.write('<iframe id="'+frameid+'" src="javascript:parent[\'img'+imgid+'\'];" frameBorder="0" scrolling="no" width="100%"></iframe>'); 
} 

调用方法: 
复制代码代码如下:

showImg('图片地址'); 

完整演示代码: 

  [Ctrl+A 全选 注:如需引入外部Js需刷新才能执行]


兼容性:已测试IE6、IE7、IE8、chrome 7、FF3.6、Opera10.63 

防御方法: 
1、不允许referer为空(不建议,因在某些开启隐私模式的浏览器中,或https页面引用下,referer是空的); 
2、地址变更(lighttpd的是根据有效时间,nginx的根据是md5); 
3、登录校验(如必须登录网站帐号后才能访问);
相关内容: 最新内容:
我来教你玩转MYIIS-VIF 防盗链 基础防盗链[2014-12-07]
asp.net iis7.5下配置图片防盗链-WEB服务器-[2014-12-06]
需要对论坛上传的图片做防盗链处理了,如果你有在其他网站粘贴易索上传的图,为防止图片失效,请进内[2014-11-28]
网站防盗链[2014-11-28]
利用.htaccess设置做到WordPress防盗链[2014-11-28]
ASP下载系统防盗链方法[2014-11-26]
 机房的硬件防火墙到底能不能防DDOS?[2014-12-07]
应对DoS/DDoS攻击的十条军规(图)[2014-12-07]
保护好自己的网络流量 预防DDOS攻击[2014-12-07]
高端网络DDoS攻击分析与对策[2014-12-07]
独裁者DDoS攻击器实施攻击详解[2014-12-07]
让你的网站远离DDOS攻击器和CC攻击器[2014-12-07]