網站圖像防盜----Apache配置妙法

網站圖像防盜----Apache配置妙法

    每個網站所有者都在盡力美化自己的網站，使它看上去更酷、更具有吸引力，其中最常見的方法就是使用圖片、Logo及Flash等。但是，這也會帶來一個問題，因爲越漂亮、越吸引人的網站，漂亮的圖片和Flash等就容易被別的網站悄悄的盜用。下面我們就一起討論如何防止網站圖像被盜用。

    需要解決的問題

    簡單的說，這裏有兩種不同的盜用行爲：
    1. 使用HTML標記IMG在自己的網站中引用網站的圖片。
    2. 從網站上下載圖片，然後放在自己的網站上。

    對於第一種的盜用行爲，合法網站的圖片被用來美化裝飾其它網站，這種盜用對合法網站的損害比較大，因爲訪問非法網站的訪問者其實是從合法網站獲取圖片的，合法網站的日誌文件充滿了訪問請求記錄，並且帶寬被非法訪問消耗，而合法網站卻沒有得到任何好處。這種類型的盜用通過技術手段完全可以被防止。

    第二種類型的盜用相對來說比較陰險，瀏覽者在非法網站直接訪問非法的圖片，而合法網站的版權受到侵害，卻得不到賠償，甚至無法發現這種盜用。因爲Web的工作方式對這種類型的盜用實際上無法被阻止，但是可以使得這種盜用更加困難。

    完全杜絕這兩種盜用行爲是不現實的，但是通過技術手段可以使得這種盜用非常困難。在Apache環境下，通過配置可以限制網站圖片被盜用。

    標識需要保護的文件

    作爲網站管理員，最大的希望就是能夠保護網站上所有文檔，但是從技術角度考慮這種想法是不現實的，因此我們這裏只討論對圖片文件的保護。

    作爲保護的第一步，首先需要標識出需要保護的文件，然後才能進一步對被標識的文件進行保護。在Apache配置文件中添加如下內容：

<FilesMatch "/.(gif|jpg)"> [這裏添加保護限制命令]
</FilesMatch>

    將容器命令包含在或等容器中，或者單獨列出，不處於任何保護容器中，這樣就會對網站所有文件進行保護，甚至可以存放在.htaccess文件。將該容器放在不同的位置，保護的範圍機會有所不同。

    Referer HTTP頭字段

    當用戶訪問Web服務器請求一個頁面時，用戶瀏覽器發送的HTTP請求中會有一個被稱爲HTTP請求頭（HTTP Request Header）的信息，這個頭信息中包含客戶請求的一些信息，例如發出請求客戶主機的瀏覽器版本、用戶語言、用戶操作系統平臺、用戶請求的文檔名等，這些信息以變量名/變量值的方式被傳輸。

    在這些信息中，Referer字段對於實現防止圖片盜用非常重要。Referer字段指定客戶端最後一個頁面的URL地址。例如，如果用戶訪問頁面A，然後點擊在頁面A上到頁面B的鏈接，訪問頁面B的HTTP請求會包括一個Referer字段，該字段會包括這樣的信息“這個請求是來自於頁面A”。如果一個請求不是來自於某個頁面，而是用戶通過直接在瀏覽器地址欄輸入頁面A的URL地址的方式來訪問頁面A，那麼在HTTP請求中則不會包括Referer字段。這樣對於我們防止盜鏈有什麼幫助呢？Referer字段是幫助判斷對圖像的請求是來自自己的頁面，還是來自其它網站。

    使用SetEnvIf對圖像進行標記

    作爲一個簡單的例子，假設需要保護的網站的主頁面爲http://my.apache.org，這時候希望限制所有不是源於本網站的網絡訪問請求（例如只允許訪問包含在本網站頁面內的圖片）。這裏可以使用一個環境變量作爲一個標記，如果條件滿足時就設置該變量，如下所示：
    SetEnvIfNoCase Referer "^http://my/.apache/.org/" local_ref=1

    當Apache處理一個請求時，它會檢查HTTP請求頭中的Referer字段，如果該請求來源於本網站（也就是請求頁面的URL爲本網站域名），則設置環境變量local_ref爲1。

    在雙引號中的字符串是一個正則表達式，只有匹配該正則表達式，環境變量纔會被設置。本文不討論如何使用正則表達式，這裏只需要理解SetEnvIf*命令會使用正則表達式作爲參數。

    SetEnvIfNoCase命令的“NoCase”部分表示這裏的正則表達式忽略大小寫，'http://my.apache.org/'、'http://My.Apache.Org/'或 'http://MY.APACHE.ORG/'都可以匹配條件。

    在訪問控制中使用環境變量

    Apache配置文件中的Order、Allow和Deny命令可以實現對文檔的基於環境變量的訪問控制，使用Order、Allow和Deny命令首先要考慮的是Allow和Deny命令的順序對於Apache處理結果的影響，應該以下面的方式使用：
    Order Allow,Deny

    這裏表示Apache首先處理該HTTP請求相關的Allow命令，然後處理相關的Deny命令。這種處理方式的默認策略是Deny，所以除非有明確的允許的設置，否則該請求就會被拒絕，任何非法訪問將無法成功。

    因此，在Apache的配置文件httpd.conf中添加如下命令，來實現本地引用發揮作用：

Order Allow,Deny
Allow from env=local_ref

    這樣只有在local_ref變量被定義的情況下，該請求才會被允許；否則其它所有請求和訪問將會被拒絕，因爲這些請求不滿足Allow條件。

    注意，請不要在.htaccess和httpd.conf中使用容器命令，這裏不需要該容器命令，除非有特殊的需求，例如希望Get請求和Post請求進行不同的處理。

    把這些相關設置放在一起，在Apache的配置文件中就會有如下內容：

SetEnvIfNoCase Referer "^http://my/.apache/.org/" local_ref=1
<FilesMatch "/.(gif|jpg)">
  Order Allow,Deny
  Allow from env=local_ref
</FilesMatch>

    如上配置可以存放在服務器配置文件httpd.conf中，或者存放在.htaccess文件中，最後的效果是一樣的：在這些命令作用的範圍內，只有從本網站引用的圖片纔可以被訪問。

    對圖片進行水印處理

    上面介紹的方法並不能完全防止圖像盜鏈，這是因爲有些執著的盜用者可以僞造Referer值來盜用圖片，使相關設置失效，所以不可能完全防止網站圖片被盜鏈，但是上面採取的措施會使得盜鏈變得很困難。

    此外，還有一個防止圖片被盜用的方法，就是對網站的圖片都進行水印處理。對一個數字圖片進行水印處理是指在圖片中加入一個特殊的簽名編碼，並且可以進行驗證和檢測，數字水印並不會降低圖片的質量，甚至可以實現圖像被切割以後的剩餘部分仍然會包括水印信息。圖片被再次編輯、打印，並再次掃描以後，水印仍然可以被檢測到。因此，水印技術是一個非常好的保護圖片不被盜用的技術。

    記錄盜用請求

    如果想知道自己網站的藝術品是否被盜，可以嘗試使用同樣的偵測和環境變量來記錄可疑請求。例如，在httpd.conf文件中添加如下命令，那麼會在/usr/local/web/apache/logs/poachers_log文件中記錄所有具有非法的Referer頭信息的訪問請求：

SetEnvIfNoCase Referer      "!^http://my/.apache/.org/" not_local_ref=1
SetEnvIfNoCase Request_URI  "/.(gif|jpg)"               is_image=1
RewriteEngine  On
RewriteCond    ${ENV:not_local_ref} =1
RewriteCond    ${ENV:is_image}      =1
RewriteRule    .*                   -     [Last,Env=poach_attempt:1]
CustomLog logs/poachers_log         CLF   env=poach_attempt

    在上面代碼中，頭兩行爲條件設置標記（也就是沒有正確的本地Referer的圖片文件），RewriteCond檢測是否該標記被設置，然後RewriteRule設置第三個標記，最後一行使得這樣的訪問請求被記錄在特定的文件中。

    上面簡單介紹了在Apache環境下，如何通過配置來限制網站圖片被盜用的方法，拋磚引玉，希望大家將自己更好的經驗介紹出來。（T111）

 轉自賽迪網－開放系統世界