個人博客： 斯科特安的時間

服務(wù)器作防盜鏈圖片中轉(zhuǎn)，nodejs 上手項目簡明教程

前幾天隨手寫的 chrome 插件遇到了防盜鏈問題，由于插件不能用 js iframe 的方法反防盜鏈，于是想用服務(wù)器做個中轉(zhuǎn)。

記錄一下上手項目的各個點，以后再用 nodejs 就不用到處查資料了。

之前沒有一套特別熟悉的 web 開發(fā)框架，加上插件存儲服務(wù)依賴的平臺 LeanCloud 剛好支持部署 nodejs 網(wǎng)站，剛好拿這個小項目作為 nodejs 上手項目。

怎么"破解防盜鏈"呢？
想要破解，就得先知道目標(biāo)——防盜鏈如何實現(xiàn)。
大多數(shù)站點的策略很簡單: 判斷request請求頭的refer是否來源于本站。若不是，拒絕訪問真實圖片。

而我們知道: 請求頭是來自于客戶端，是可偽造的。

思路
那么，我們偽造一個正確的refer來訪問不就行了?
整個業(yè)務(wù)邏輯大概像這樣:

1. 自己的服務(wù)器后臺接受帶目標(biāo)圖片url參數(shù)的請求
2. 偽造refer請求目標(biāo)圖片
3. 把請求到的數(shù)據(jù)作為response返回

這就起到了圖片中轉(zhuǎn)的作用。

1. 項目是什么樣子

1.1 接口的樣子?

• 有一個開放接口
• 接口有一個參數(shù)，api?url=http://abc.com/image.png，大概長這樣子
• 響應(yīng)內(nèi)容是反防盜鏈后的真實圖片

1.2 應(yīng)該怎么做?

• 把服務(wù)器跑起來
• 處理 GET 請求
• 分析請求參數(shù)
• 下載原圖
• response 原圖

2. 學(xué)習(xí)路徑(在對目標(biāo)未知的前提下提出疑問)

1. 如何開始，建立服務(wù)器
2. 如何處理基本請求 GET POST
3. 如何下載圖片并轉(zhuǎn)發(fā)
4. 完成基本功能，上線
5. 優(yōu)化

2.1 如何開始，建立服務(wù)器

主要是 http.createServer().listen(port) 這組方法，建立服務(wù)器、監(jiān)聽端口一鍵搞定。

var http = require('http');
    
http.createServer(function (request, response) {
     // do things here
}).listen(8888);
    
console.log('Server running at: 8888');

2.2 如何處理基本請求 GET POST

createServer 回調(diào)方法的兩個參數(shù) req res 是 http request 和 response 的內(nèi)容，打印一下他們的內(nèi)容。

request 是 InComingMessage 類，打印它的 url 字段。

var http = require('http');
var url = require('url');
var util = require('util');
http.createServer(function(req, res){
    res.writeHead(200, {'Content-Type': 'text/plain'});
    res.end(util.inspect(url.parse(req.url, true)));
}).listen(3000);

請求
http://localhost:3000/api?url=http://abc.com/image.png

請求結(jié)果

Url {
  protocol: null,
  slashes: null,
  auth: null,
  host: null,
  port: null,
  hostname: null,
  hash: null,
  search: '?url=http://abc.com/image.png',
  query: { url: 'http://abc.com/image.png' },
  pathname: '/api',
  path: '/api?url=http://abc.com/image.png',
  href: '/api?url=http://abc.com/image.png' }

query 字段剛好是我們想要的內(nèi)容，下載這個字段對應(yīng)的圖片。

2.3 如何下載圖片并轉(zhuǎn)發(fā)

request 模塊支持管道方法，可以和 shell 的管道一樣理解。

這可以省很多事，不需要在本地存儲圖片，不需要處理雜七雜八的事情，甚至不需要再去了解 nodejs 的流。一個方法全搞定。

關(guān)鍵方法: request(options).pipe(res)

<pre>
var options = {
uri: imgUrl, // 這個 uri 為空時，會認(rèn)為該字段不存在，報異常
headers: {
'Referer': referrer // 解決部分防盜鏈選項
}
};
request(options).pipe(res);
</pre>

2.4 完成基本功能，上線

項目地址

完整代碼

    'use strict';
    var router = require('express').Router();
    var http = require('http');
    var url = require('url');
    var util = require('util');
    var fs = require('fs');
    var callfile = require('child_process');
    var request = require('request');
    
    router.get('/', function(req, res, next) {
        var imgUrl = url.parse(req.url, true).query.url;
        console.log(url.parse(req.url,true).query); 
    
        console.log('get a request for ' + imgUrl);
        if (imgUrl == null || imgUrl == "" || imgUrl == undefined) {
            console.log('end');
            res.end();
            return;
        }
    
        var parsedUrl = url.parse(imgUrl);
        // 這里暫時使用圖片服務(wù)器主機名做Referer
        var referrer = parsedUrl.protocol + '//' + parsedUrl.host; 
        console.log('referrer ' + referrer);
    
        var options = {
          uri: imgUrl,
          headers: {
             'Referer': referrer
          }
        };
    
        function callback(error, response, body) {
          if (!error && response.statusCode == 200) {
            console.log("type " + response.headers['content-type']);
          }
          res.end(response.body);
        }
    
        // request(options, callback);
        request(options)
            .on('error', function(err) {
                console.log(err)
            })
            .pipe(res);
    });
    
    module.exports = router;

2.5 優(yōu)化

這部分主要是防盜鏈部分的優(yōu)化。

單就 Referer 來說，使用空值和主機名都只能滿足部分需求。

一個優(yōu)化方式是組合，當(dāng)一種方式不能突破即采用另一種方式。
這種方式的有點在于擴大了適用面積，并且方法對任何場景比較通用。

一個優(yōu)化方式是接口請求參數(shù)帶源引用連接。
這種方式對很多人來說不太通用，因為很多場景下并不清楚源引用連接在哪。
但是對我的插件來說非常適用，插件本身保留了源引用。因此可以很好的繞過防盜鏈限制。