欢迎来到雄杰鑫电商资讯网
技术教程

php如何防止文件下载盗链_php校验referer来源与登录态双重验证方法

蓮花仙者 次阅读
通过校验HTTP Referer来源和验证用户登录状态(Session/Token),结合双重验证机制可有效防止文件盗链。首先检查请求是否来自允许的域名,防止外部网站直接链接;再通过session_start()确保用户已登录,未授权用户无法访问核心资源。文件不直接暴露路径,而是由PHP脚本中转输出,确保安全性。典型应用场景包括会员资料、付费课程视频及后台导出功能。进一步建议使用一次性签名链接、限制下载频率、将敏感文件存于web目录外,并记录日志用于审计。Referer仅作辅助,登录态才是关键防线,二者结合更可靠。

防止文件下载盗链,尤其是通过 PHP 实现对请求来源的校验与用户登录状态的双重验证,是保护私有资源的重要手段。单纯依赖 Referer 并不安全,结合登录态验证才能有效阻止未授权访问。

1. 校验 HTTP Referer 来源

通过检查 $_SERVER['HTTP_REFERER'] 判断请求是否来自允许的域名,可初步防止其他网站直接链接文件。

注意:Referer 可被客户端篡改或为空,仅作辅助判断。

示例代码:

$allowed_domains = ['yourdomain.com', 'www.yourdomain.com'];
$referer = $_SERVER['HTTP_REFERER'] ?? '';

if (!empty($referer)) {
    $parsed = parse_url($referer);
    $host = $parsed['host'] ?? '';
    if (!in_array($host, $allowed_domains)) {
        die('非法来源');
    }
} else {
    // 无 Referer 时可选择拒绝或进入下一步验证
    die('缺少来源信息');
}

2. 验证用户登录状态(Session 或 Token)

核心资源应基于会话或令牌进行访问控制。文件不直接暴露路径,而是通过 PHP 脚本中转输出。

示例流程:

  • 用户登录后设置 session:$_SESSION['user_id'] = 123;
  • 下载接口先检查登录态
  • 合法请求再读取并输出文件内容

代码示例:

session_start();

if (!isset($_SESSION['user_id'])) {
    http_response_code(403);
    die('未登录');
}

$file = '/path/to/protected/file.pdf';

if (file_exists($file)) {
    header('Content-Type: application/octet-stream');
    header('Content-Disposition: attachment; filename="' . basename($file) . '"');
    header('Content-Length: ' . filesize($file));
    readfile($file);
    exit;
} else {
    http_response_code(404);
    die('文件不存在');
}

3. 双重验证:Referer + 登录态组合使用

将两者结合,提升安全性。即使 Referer 被绕过,仍需登录权限;即使登录态泄露,也无法从外部站点直接调用。

典型应用场景:

  • 会员专属资料下载
  • 付费课程视频资源
  • 后台管理系统的导出功能

整合代码结构:

session_start();

// 检查登录
if (!isset($_SESSION['user_id'])) {
    die('请登录后下载');
}

// 检查 Referer(增强防御)
$allowed = ['yourdomain.com', 'admin.yourdomain.com'];
$referer = $_SERVER['HTTP_REFERER'] ?? '';

if (!empty($referer)) {
    $host = parse_url($referer, PHP_URL_HOST);
    if (!in_array($host, $allowed)) {
        error_log("盗链尝试:{$referer}");
        die('非法访问');
    }
}
// 允许空 Referer(如 HTTPS 页面跳转可能丢失),但确保已登录

// 安全输出文件
$file = '/safe/path/' . basename($_GET['file']);
if (is_valid_file($file)) { // 自定义校验逻辑
    header('Content-Type: application/pdf');
    header('Content-Disposition: attachment; filename="download.pdf"');
    readfile($file);
}

4. 增强建议

进一步提升安全性的方法:

  • 使用一次性下载链接(带签名和过期时间)
  • 限制下载频率(IP 或用户维度)
  • 敏感文件存储在 web 目录外
  • 日志记录下载行为,便于审计

基本上就这些。Referer 验证能防简单盗链,登录态才是关键防线,两者叠加更稳妥。

ai app pdf php 会员 stream session php脚本

相关文章

按ESC键退出。