绕开 referrer 防盗链 以及服务器nodejs 作防盗链图片中转

1绕开 referrer 防盗链

最近处理了一个与referer有关的需求，发现里面还是有一点门道的。因此在本篇文章整理了referer相关知识点，主要涉及图片防盗链与如何绕开防盗链限制。

参考：
Referer-MDN

使用referer
Referer是HTTP请求头的一个字段，包含了当前请求页面的来源页面的地址，通过该字段，我们可以检测访客是从哪里来的。

那么，referer到底有啥作用呢？

交互优化
在某些web应用的交互中，右上角会提供一个返回按钮，方便用户返回上一页

其实现一般也比较简单

复制代码
这种处理方式隐藏的一个问题是：如果用户从其他入口如分享链接等地方直接进来时，点击这个按钮是无法返回。

因此在点击按钮时，我们可以判断document.referrer是否存在来优化交互：如果存在，则返回上一页；如果不存在，则直接返回首页。

应该注意到上面写的是referer，而在DOM中，使用的是referrer，这是因此请求头中的referer是由于历史原因导致的拼写错误，而在DOM规范中进行了修正，因此导致当前拼法并不统一的问题~

防盗链
当用户访问网页时，referer就是前一个网页的URL；如果是图片的话，通常指的就是图片所在的网页。当浏览器向服务器发送请求时，referer就自动携带在HTTP请求头了。

一个HTML页面往往包含多种资源，这些资源通过标签如script、img、link等形式嵌套在HTML文档中，一个完整页面往往需要经过发送多条HTTP请求下载资源，然后才能正常展示。由于HTML本身并没有对嵌套资源的来源做限制，基于这样的机制，盗链就成为了一种手段。

下面是关于盗链的百度百科定义

盗链是指服务提供商自己不提供服务的内容，通过技术手段绕过其它有利益的最终用户界面（如广告），直接在自己的网站上向最终用户提供其它服务提供商的服务内容，骗取最终用户的浏览和点击率。受益者不提供资源或提供很少的资源，而真正的服务提供商却得不到任何的收益。

打个比方：A网站将自己的静态资源如图片或视频等存放在服务器上。B网站在未经A允许的情况下，使用A网站的图片或视频资源，放置到自己的网站中。由于服务器资源是需要花钱的，这样网站B盗取了网站A的空间和流量，而A没有获取任何利益却承担了资源使用费。B盗用A资源放到自己网站的行为即为盗链。

防盗链一般由下面几种方式

定期修改文件名称或路径
通过referer，限制资源引用页的来源
通过cookie、session等进行身份认证
图片加水印等
这里我们主要关注一下referer的防盗链的原理。下面是nginx的防盗链配置

location ~* .(gif|jpg|png)$ {
valid_referers none blocked *.phptest.com;
if ($invalid_referer) {
return 403;
}
}
复制代码
这种方法是在server或者location段中加入：valid_referers。这个指令在referer头的基础上为 $invalid_referer 变量赋值，其值为0或1。如果valid_referers列表中没有Referer头的值， $invalid_referer将被设置为1。

该指令支持none和blocked，

其中none表示空的来路，也就是直接访问，比如直接在浏览器打开一个文件，
blocked表示被防火墙标记过的来路，*…com表示所有子域名。
通过referer，我们可以判断请求的来源，从而决定服务器是否正常返回请求资源，达到控制请求的目的。

需要注意的是，在某些情况下，即使用户是正常访问网页或图片，也是不会携带referer的，比如直接在浏览器地址栏直接输入资源URL，或通过浏览器新窗口打开页面等。这种访问是正常的，如果强制现在某些白名单referer名单才能访问资源，则可能误伤这一部分正常用户，这也是为什么有的防盗链检测中允许Referer头部为空通过检测的情况。

既然如此，如果把referer隐藏掉，也可以绕开部分站点防盗链的限制，