VS Code用のEchoAPI
IntelliJ IDEA用のEchoAPI
EchoAPl-Interceptor
EchoAPl CLI
EchoAPI クライアント
APIデザイン
APIデバッグ
APIドキュメント
Mockサーバー
ホットリンク保護ガイド:EchoAPI を使用して画像の盗用をブロックし、サーバー費用を節約しよう
デジタルの世界では、画像の盗用がサーバーリソースを消耗し、経済的な損失を引き起こすことがあります。本書では、EchoAPIがホットリンクに対する強力なシールドとして機能し、アセットを保護し、帯域幅のコストを効率的に削減する方法を探ります。
こんな経験ありませんか?
かっこいい网站建设りました。
画像は最適化済み?✅
CDN は設定済み?✅
クラウドサーバーは快調?✅
コーヒーを啜りながら、う쭐としていると、
「細部までこだわるプロだ」
サーバーダッシュボードを見に行くと:
帯域幅が急増。
CPU は過負荷。
あなたの脈拍もサーバーの RPM にシンクして早鐘を打つ。
なのに…
トラフィック数は変わらない
いったい何が起こっているのでしょうか?
多くの場合、それは二つの卑劣な単語のせいです:
ホットリンク(いわゆる帯域幅の盗用)
ホットリンクとは?
ホットリンクとは、他サイト があなたの画像、動画、または静的アセットを 直接埋め込む こと——許可なく、あなたの帯域幅、サーバー、そしてリソースを使用することです。
例えば:
あなたのサーバーにこんな可愛い画像がホストされているとします:
https://yourdomain.com/assets/adorable-doggo.jpg
素行不良な WordPress ブログがこんな風に埋め込むと:
<img src="https://yourdomain.com/assets/adorable-doggo.jpg" />
すると——あなたのサーバーは彼らのサイトでその画像を表示するために過負荷状態になります。
あなたのホスティング料金。あなたのストレージ。あなたのデザイン。
しかし、トラフィックは彼らのもの。ユーザーは彼らのもの。怪しげな広告収益も彼らのもの。
まるで、自宅でバーベキューを開催したら、毎日のように見知らぬ人が来て、リブを食べつくし、ビールすら持参しないようなものです。
ホットリンクが最悪な理由
さて、画像一枚北京冬奥vatが何の問題があるのでしょう?
- サーバー負荷が急増:高解像度の画像や動画は重い処理が必要です。フリーローダーたちがあなたの帯域幅を消耗している間に、請求書はあなたの元へと舞い込みます。
- あなたのサイトが遅くなる:ホットリンクによるリソース食い違いが、あなたの本当のユーザーの体験を遅らせる可能性があります。
- あなたが代価を支払うことになる:文字通りです。メータード CDN やクラウドトラフィックプランを使用している場合、あなたの財布は血を流すことになります。
- あなたのブランドが不審なサイトに表示される:あなたのロゴが暗号通貨スキームや陰謀論を販売するサイトに表示されるかもしれません。呸。
API テストでホットリンク保護を処理および検証する方法
ステップ 1:偽装して脆弱性を突く(リファラとオリジンのスプーフィング)
EchoAPI などのツールを使用して、リクエストヘッダーをスプーフィングし、サーバーの反応を確認します。
GET /images/private-doggo.jpg
Host: yourdomain.com
Referer: http://shady-pixels.com
Origin: http://shady-pixels.com
予想されるレスポンス:
- ✅ セットアップがしっかりしている場合:
403 Forbiddenまたは警告用の画像が返却されます。 - ❌ サーバーが実際の画像を返却する場合:問題があります。
これにより、ホットリンク防御が十分に機能しているかどうかを予防的にテストすることができます。
ステップ 2:ホワイトリストをサンタのようにチェック
多种のシナリオをテストします:
| リファラ | 予想される結果 |
|---|---|
yourdomain.com |
✅ 正常に読み込まれる |
localhost |
✅(開発モード時) |
evil-site.biz |
❌ 403 または警告用の画像 |
スクリプトを使用するか、EchoAPI の AI ドリブンテストケースジェネレーション機能で一括で検証を行います。
ステップ 3:機密資産のためのトークン認証
保護されたファイル(ユーザーのアバター、内部文書、プレミアムコンテンツなど)を配信する場合は、トークンベースの API 認証を使用します:
GET /api/user-avatar/98765
Authorization: Bearer eyJhbGciOiJIUzI1Ni...
誰かがパスを知っていても、有効なトークンなしでは何も取得できません。
これは 二段階ロック 就像是:フロントエンドのリファラ保護 + API レベルの認証。
バックエンドまたはサーバーサイドからホットリンクを阻止する方法
1. Nginx のアンチホットリンク設定(いわゆる冷蔵庫のロック)
Nginx に次のように設定することで、**「実際に招待した人だけに食べ物を提供する」**ように指示します。
location /images/ {
valid_referers none blocked yourdomain.com *.yourdomain.com;
if ($invalid_referer) {
return 403;
}
}
デヴォップスのピザパーティのように分解してみましょう:
location /images/:この設定は/images/logo.pngのようなパスにのみ適用されます——つまり、メディアフォルダを保護し、サイト全体を守るのではないです。valid_referers:これがホワイトリスト——誰が帯域幅を「ちょっと尝める」ことを許可されているかを定義します。none:リファラヘッダーのないリクエストをカバー(プライバシーに重点を置いたブラウザからのリクエストなど)。blocked:リファラヘッダーを意図的に除去するブラウザやプラグインからのリクエストをカバー。yourdomain.com、*.yourdomain.com:これらはあなたの領域——ドメインとそのサブドメインです。
if ($invalid_referer):もしもし、招待リストにない人がドアをノックしてきたら……return 403;:……相手の顔にドアをバタンと閉め、さよなら。oldt 403 Forbidden を返します。
これにより何が可能になるのか?
あなたのサイト(およびサブドメイン)のみが画像を読み込むことができます。他者はたとえ埋め込もうとしても、冷たい肩をされます。
スパイシー版:「罰則つき」アンチホットリンク設定
if ($invalid_referer) {
rewrite ^/images/ /images/hotlink-warning.jpg;
}
これは「声明を発する」ためのものです。
- 見知らぬブログや海賊サイトからあなたの画像がホットリンクされた場合、
- 他们がオリジナルの画像ではなく、「嘿!盗むなよ!」 という画像が表示されます。
「ホットリンク:NO纪委监委ドリしました。クリエイターを尊重してくださいね。」
まるで、誰かのプレートのステーキを、悲しげな冷蔵庫の写真に置き換えるようなものです。
退屈な 403 よりも効果的(そして楽しい)。
2. CDN ベースのホットリンク保護
クラウドflare、Fastly、アカマイのような CDN を使用して静的コンテンツを配信している場合、ラッキー——多くの CDN ではホットリンク保護が標準装備されています。そして GUI 基づきなので、Nginx の奥底を探検する必要はありません。
リファラホワイトリストを設定する
「以下のウェブサイトからのリソースリクエストのみを許可する……」
自分のドメインを追加するだけ。ほとんどの CDN は *.yourdomain.com のようなワイルドカードをサポートし、そのほかのリクエストはブロックされます。
フリーローダーにどう対処すべきか?
不審なゲストからのリクエストを次のように処理できます:
- 403 を返却する –「ダメよん。」と断る。
- 警告用のページや恂恂みページにリダイレクトする –「これはあなたの帯域幅ではないよ!」
- プラシーヘボ画像を返却する – 例えば「この画像は期限切れました」や「ホットリンク禁止です。」
ボーナスコントロール:
- 特定のファイル形式へのアクセスを制限する(例えば、画像やオーディオのみ)
- アクセス頻度や総帯域幅をスロットリングする(コンテンツの大量ダウンロードを試みるボット対策に役立ちます)
- プレミアム / 壁貫けコンテンツのためにクッキーまたはトークンベースの署名を使用する
EchoAPI を使用してアンチホットリンクが機能するかテストする方法
API をテストしていても、ホットリンクの試みをシミュレートして防御が機能しているかどうかを確認できます:
GET /images/banner.jpg
Host: yourdomain.com
Referer: http://some-random-site.com
試してみること:
- EchoAPI を使用してリファラおよびオリジンヘッダーの両方を設定する
サーバーの反応をテストします:- 自サイトからの正当なリクエスト ✅
- 外部ドメインからの不当なリクエスト ❌
- リファラヘッダーなしのリクエストを試してみる
一部のブラウザやシークレットモードではリファラヘッダーが除去されます。プライバシーを重視するユーザーを誤って排除していないことを確認します。
偽のリファラヘッダーを設定する:
Referer: http://evil-site.com
サーバーが 403 を返すか、リダイレクトするか、スパイシーな警告用の画像を返すかどうかを確認します。
EchoAPI は这一切を非常に簡単にテストできるようにしてくれます——悪い振る舞いをシミュレートし、何が起こるかを見て、構成を調整し、繰り返します。
チートシート
| 層 | 行うべきこと |
|---|---|
| ローカル / API テスト | リファラ / オリジンヘッダーをシミュレートする |
| バックエンドロジック | ヘッダーをチェック + トークンベースの認証を行う |
| サーバー構成 | Nginx / Apache を使用して未承諾のリファラをブロックする |
| CDN 設定 | ホワイトリストを使用 + 403 または警告用画像を返却する |
フリーローダーを止めることはできないが、冷蔵庫はロックできる
ホットリンクは単なるお洒落じゃない問題ではありません——帯域幅を喰らって、パフォーマンスを乱し、あなたのアセットが粗悪なサイトに表示されることでブランドイメージを損なう可能性があります。
サーバー、CDN、API レベルのいずれかで適切なアンチホットリンクを実装することで、コンテンツが意図した通りに使用されることを確保できます。他人に無料の食事をさせるな。
帯域幅を財布のように大切に扱おう:
しっかり鍵をかけて、本当に気にしてるユーザーだけにリソースを使おう。
