网络视频(Web 视频)是指利用 HTML5 技术在浏览器中播放的视频,这类视频资源通常可以被随意下载,某些行业(比如教培行业)如果希望保护自己的视频资源不被下载,就需要对视频做防盗链处理。
防盗链需要着重加强两个方面的安全性:网络传输和客户端。
网络传输安全
网络传输层面能做的不多,HTTPS 是必要的,除此之外的防护措施效果也有限。
验证 Referer
防盗链最常规的手段是验证 Referer,而伪造 Referer 几乎零成本,所以它只防君子不防小人,没用。
请求防重放
盗链可以理解成一种对静态资源的 “重放攻击”,所以可以用应对重放攻击的思路来改造静态资源请求,通过一个动态接口返回静态资源,并且加入变量让动态请求短时间内失效,比如随机数、时间戳、流水号等等。
这种方式可以做到让链接地址没有复用价值,但攻击者如果脚本化还是可能在有限时间内下载到文件本身。而且这种方案会明显提升服务端的性能压力,因为静态资源的请求量往往比较大,尤其是视频通常还要处理成 m3u8 格式的视频切片,请求量会剧增。
请求权限校验
动态接口可以叠加上权限校验,这也是常见的业务需求,仅授权用户可见。
虽然作为一种防盗手段来说这约等于没有,因为请求信息都能在 chrome 里拿到,在 postman 里重放请求就行了。但这种手段却可以有效的防住一大批视频下载浏览器插件,因为大部分下载插件都是直接请求 url,如果授权信息放在 heade
