每个网站所有者都在尽力美化自己的网站，使它看上去更酷、更具有吸引力，其中最常见的方法就是使用图片、Logo及Flash等。但是，这也会带来一个问题，因为越漂亮、越吸引人的网站，漂亮的图片和Flash等就容易被别的网站悄悄的盗用。下面我们就一起讨论如何防止网站图像被盗用。

    第二电脑网整理了需要解决的问题

    简单的说，这里有两种不同的盗用行为：
    1. 使用HTML标记IMG在自己的网站中引用网站的图片。
    2. 从网站上下载图片，然后放在自己的网站上。

    对于第一种的盗用行为，合法网站的图片被用来美化装饰其它网站，这种盗用对合法网站的损害比较大，因为访问非法网站的访问者其实是从合法网站获取图片的，合法网站的日志文件充满了访问请求记录，并且带宽被非法访问消耗，而合法网站却没有得到任何好处。这种类型的盗用通过技术手段完全可以被防止。

    第二种类型的盗用相对来说比较阴险，浏览者在非法网站直接访问非法的图片，而合法网站的版权受到侵害，却得不到赔偿，甚至无法发现这种盗用。因为Web的工作方式对这种类型的盗用实际上无法被阻止，但是可以使得这种盗用更加困难。

    完全杜绝这两种盗用行为是不现实的，但是通过技术手段可以使得这种盗用非常困难。在apache环境下，通过配置可以限制网站图片被盗用。

    标识需要保护的文件

    作为网站管理员，最大的希望就是能够保护网站上所有文档，但是从技术角度考虑这种想法是不现实的，因此我们这里只讨论对图片文件的保护。

    作为保护的第一步，首先需要标识出需要保护的文件，然后才能进一步对被标识的文件进行保护。在Apache配置文件中添加如下内容：

<FilesMatch ".(gif|jpg)"> [这里添加保护限制命令]
</FilesMatch>

    将容器命令包含在或等容器中，或者单独列出，不处于任何保护容器中，这样就会对网站所有文件进行保护，甚至可以存放在.htaccess文件。将该容器放在不同的位置，保护的范围机会有所不同。

    Referer HTTP头字段

    当用户访问Web服务器请求一个页面时，用户浏览器发送的HTTP请求中会有一个被称为HTTP请求头（HTTP Request Header）的信息，这个头信息中包含客户请求的一些信息，例如发出请求客户主机的浏览器版本、用户语言、用户操作系统平台、用户请求的文档名等，这些信息以变量名/变量值的方式被传输。

    在这些信息中，Referer字段对于实现防止图片盗用非常重要。Referer字段指定客户端最后一个页面的URL地址。例如，如果用户访问页面A，然后点击在页面A上到页面B的链接，访问页面B的HTTP请求会包括一个Referer字段，该字段会包括这样的信息“这个请求是来自于页面A”。如果一个请求不是来自于某个页面，而是用户通过直接在浏览器地址栏输入页面A的URL地址的方式来访问页面A，那么在HTTP请求中则不会包括Referer字段。这样对于我们防止盗链有什么帮助呢？Referer字段是帮助判断对图像的请求是来自自己的页面，还是来自其它网站。

    使用SetEnvIf对图像进行标记

    作为一个简单的例子，假设需要保护的网站的主页面为http://www.002pc.com，这时候希望限制所有不是源于本网站的网络访问请求（例如只允许访问包含在本网站页面内的图片）。这里可以使用一个环境变量作为一个标记，如果条件满足时就设置该变量，如下所示：
    SetEnvIfNoCase Referer "^http://www.002pc.com/" local_ref=1

    当Apache处理一个请求时，它会检查HTTP请求头中的Referer字段，如果该请求来源于本网站（也就是请求页面的URL为本网站域名），则设置环境变量local_ref为1。

    在双引号中的字符串是一个正则表达式，只有匹配该正则表达式，环境变量才会被设置。本文不讨论如何使用正则表达式，这里只需要理解SetEnvIf*命令会使用正则表达式作为参数。

    SetEnvIfNoCase命令的“NoCase”部分表示这里的正则表达式忽略大小写，'http://www.002pc.com/'、'http://Www.002pc.Com/'或 'http://WWW.002PC.COM/'都可以匹配条件。

    在访问控制中使用环境变量

    Apache配置文件中的Order、Allow和Deny命令可以实现对文档的基于环境变量的访问控制，使用Order、Allow和Deny命令首先要考虑的是Allow和Deny命令的顺序对于Apache处理结果的影响，应该以下面的方式使用：
    Order Allow,Deny

    这里表示Apache首先处理该HTTP请求相关的Allow命令，然后处理相关的Deny命令。这种处理方式的默认策略是Deny，所以除非有明确的允许的设置，否则该请求就会被拒绝，任何非法访问将无法成功。 《网站图像防盗Apache配置有妙法》由第二电脑网原创提供，转载请注明：http://www.002pc.com/master/College/Server/Apache/2008-12-14/6438.html