asp.net ashx图片防盗链原理究竟是怎样的实现机制？

在ASP.NET开发中，利用ASHX实现图片防盗链是一种常见的保护图片资源不被外部网站非法引用的方法，以下是对这一原理的详细分析。

ASHX简介

ASHX是ASP.NET中的一种处理程序，它类似于ASP.NET中的ASPX页面，但ASHX文件不依赖于HTML标记，这使得ASHX文件非常适合用于处理不需要返回HTML内容的请求，如图片、文件下载等。

图片防盗链原理

防盗链概念

防盗链（Hotlink Protection）是指防止其他网站直接通过链接到你的服务器上的图片、视频等资源，从而绕过你的网站直接向用户提供服务，这会导致你的服务器带宽被消耗，同时可能影响你的网站流量统计。

ASHX实现防盗链

在ASP.NET中，通过ASHX文件实现图片防盗链的基本原理如下：

• 自定义HTTP请求处理：通过ASHX文件自定义HTTP请求的处理逻辑，可以在请求到达服务器之前进行验证。
• 验证请求来源：在处理请求时，检查请求的来源（即Referer头信息），确保请求是从允许的域名发起的。
• 生成验证码：如果请求来源不是允许的域名，可以要求用户输入验证码，以防止自动化脚本进行非法访问。
• 设置响应头：无论请求是否通过验证，都要设置适当的HTTP响应头，如Content-Disposition和Cache-Control，以防止图片被缓存和盗链。

实现步骤

以下是一个简单的ASHX文件实现图片防盗链的步骤：

步骤1：创建ASHX文件

在Visual Studio中，创建一个新的ASHX文件，例如ImageHandler.ashx。

步骤2：编写ASHX代码

在ASHX文件中,编写如下代码：

public class ImageHandler : IHttpHandler
{
    public void ProcessRequest(HttpContext context)
    {
        string allowedDomain = "http://www.yourdomain.com"; // 允许的域名
        string referer = context.Request.UrlReferrer != null ? context.Request.UrlReferrer.Host : "";
        if (referer != allowedDomain)
        {
            // 设置响应头，防止图片被缓存
            context.Response.Cache.SetCacheability(HttpCacheability.NoCache);
            context.Response.Cache.SetExpires(DateTime.Now.AddSeconds(-1));
            context.Response.Cache.SetNoStore();
            // 设置内容类型
            context.Response.ContentType = "image/jpeg";
            // 输出错误信息
            context.Response.Write("Access denied.");
        }
        else
        {
            // 设置响应头，允许图片被缓存
            context.Response.Cache.SetCacheability(HttpCacheability.Public);
            context.Response.Cache.SetExpires(DateTime.Now.AddMinutes(10));
            // 设置内容类型
            context.Response.ContentType = "image/jpeg";
            // 读取图片文件并输出
            string imagePath = context.Request.QueryString["path"];
            if (!string.IsNullOrEmpty(imagePath))
            {
                byte[] imageBytes = System.IO.File.ReadAllBytes(imagePath);
                context.Response.OutputStream.Write(imageBytes, 0, imageBytes.Length);
            }
        }
    }
    public bool IsReusable
    {
        get { return false; }
    }
}

步骤3：配置URL重写

在Web.config文件中配置URL重写，将图片请求映射到ASHX文件：

<configuration>
  <system.webServer>
    <handlers>
      <add name="ImageHandler" path="images/*" verb="*" type="YourNamespace.ImageHandler" preCondition="integratedMode" />
    </handlers>
  </system.webServer>
</configuration>

FAQs

Q1：为什么需要设置HTTP响应头来防止图片被缓存？

A1： 设置HTTP响应头可以控制浏览器和缓存服务器对图片的缓存行为，如果不设置，图片可能会被缓存，导致用户通过直接访问图片URL来获取资源，从而绕过你的网站。

Q2：如何处理非法访问请求？

A2： 在ASHX文件中，可以通过检查请求的来源（Referer头信息）来判断请求是否合法，如果请求来源不是允许的域名，可以输出错误信息，并设置响应头，防止图片被缓存，还可以要求用户输入验证码，以防止自动化脚本进行非法访问。