防止网站被恶意反向代理

2022-01-13 12:14:31 浏览数 (1)

0x0

今天一如既往的到后台看了看访问数据,毕竟我博客只是个小站,没什么人看。然而今天看到多出来几个来源,不是友链和搜索引擎,我心想我这破站还有人看吗,好奇的访问了一下,我惊讶了。 我的站居然被反向代理了?!

这里首先说一下反向代理的概念:

0x1 反向代理

反向代理服务器位于用户与目标服务器之间,但是对于用户而言,反向代理服务器就相当于目标服务器,即用户直接访问反向代理服务器就可以获得目标服务器的资源。同时,用户不需要知道目标服务器的地址,也无须在用户端作任何设定。反向代理服务器通常可用来作为Web加速,即使用反向代理作为Web服务器的前置机来降低网络和服务器的负载,提高访问效率。反向代理服务器位于用户与目标服务器之间,但是对于用户而言,反向代理服务器就相当于目标服务器,即用户直接访问反向代理服务器就可以获得目标服务器的资源。同时,用户不需要知道目标服务器的地址,也无须在用户端作任何设定。反向代理服务器通常可用来作为Web加速,即使用反向代理作为Web服务器的前置机来降低网络和服务器的负载,提高访问效率。

这是百度百科给出的解释,那么它的效果是什么呢? 就是我们所说的镜像站。

比如用户访问 http://blog.ysneko.com/archives 这个页面,但blog.ysneko.com实际上并不存在这个页面,他是偷偷从另外一台服务器上取回来,然后作为自己的内容返回用户。实际上表达出来的效果就是相当于他搭建了个和目标站一模一样的镜像站。

0x2 反向代理的危害

他如果没有危害我们也不用去管它对吧,实际上是肯定有危害的。

  • 占用服务器资源,网站打开速度受影响。
  • 别人通过代理盗用你的网站数据,对用户与搜索引擎而言,相当于建了一个与你一模一样的站点,那么很有可能你的网站会被搜索引擎降权。
  • 其他诸如被友链或者联盟广告拉黑等危害。

0x3 防止反向代理

0x3.1 JS方法

代码语言:javascript复制
<script type="text/javascript">
if (document.domain != 'ysneko.com' && document.domain != 'blog.ysneko.com'){
    window.location.href='http://blog.ysneko.com/';
}
</script>

这段JS脚本的作用就是,如果地址栏中的网址不是 ysneko.com 和 blog.ysneko.com 中的任何一个,那么就把地址栏转向 http://blog.ysneko.com/ 。

0x3.2 PHP方法

上面所说的JS方法虽然简单好用,但是对搜索引擎不怎么友好。下面是通过PHP的解决方法:

代码语言:javascript复制
$proxy_rs = $this -> proxy_filter();
if( $proxy_rs != 'nowamagic.net' || $proxy_rs != 'blog.ysneko.com' ) 
{
    echo '非法反向代理访问';
    //header('Location: http://blog.ysneko.com/');
    exit;
}
        
public function proxy_filter()
{
    /*
    $svrUrl = 'http://' . $_SERVER['SERVER_NAME'].$_SERVER["PHP_SELF"];
    if (!empty($_SERVER["QUERY_STRING"]))
    {
        $svrUrl .= "?".$_SERVER["QUERY_STRING"];
    }
    
    return $svrUrl;
    */
    return $_SERVER['SERVER_NAME'];
}

0x3.3 htaccess方法

.htaccess

代码语言:javascript复制
RewriteEngine On
RewriteBase /
php_value auto_append_file proxy.php

proxy.php

代码语言:javascript复制
<?php
$f = getenv("HTTP_X_FORWARDED_FOR");
$server = getenv("HTTP_HOST");
if (($f!="")&&($server!="ysneko.com")&&($server!="blog.ysneko.com")){
    echo '本服务器禁止恶意反向代理!';
}
?>

因为我的站对收录需求不是特别高,所以就采用的JS方法,具体使用哪一种看自己的选择。

0 人点赞