我们一直在开发一个游戏网站。最近在记录主要流量来源时,我注意到一个网站,我发现它是我们网站的副本。它使用我们的徽标,一切都与我们的相同,但域名不同。不可能,那个域名指向我们的域名。这是因为在几个地方的链接就像ccwebsite/our-links。该网站甚至有一些图片的链接ccwebsite/our-images。
发生了什么事?他们怎么能那样做?我能做些什么来阻止这种情况?
【问题讨论】:
标签: web-services security web-applications web
他们可能做了很多事情来复制您的网站,包括但不限于:
使用工具抓取您网站的完整副本并将其放置在他们的服务器上
使用他们的 DNS 名称指向您的站点
手动将您的网站重新创建为他们自己的网站
通过实时抓取您的请求并将其作为响应返回来响应对他们网站的请求
等等
我能做些什么来阻止这种情况?
不是很多。您可以尝试通过要求您的图像和其他资源的引用标头来防止直接链接到您的内容,以便请求需要来自您服务的页面,但是 1)这些可以被伪造,并且 2)并非所有浏览器都会发送这些,所以你' d 破坏一小部分合法用户。这也不会阻止任何人复制内容,只是“深度链接”到它。
最终,通过拥有一个网站,您会将这些信息暴露在互联网上。在技术层面上,任何人都可以获得该信息。如果某些信息应该是私有的,您可以通过登录或其他授权措施保护该信息。但如果信息是公开的,那么任何人都可以复制它。
恐怕“停止这个”更多的是法律/司法/人际问题,而不是技术问题。 Stack Overflow 无法提供这种建议。
【讨论】:
You can require referrer headers for your images and other resources so that requests need to come from pages you serve, but 1) those can be faked and 2) not all browsers will send those so you'd break a small percentage of legitimate users.能否详细说明
您可以使用一些轻量级身份验证来运行您的网站。只需在他们拉取页面时被动地发出 cookie,并要求 cookie 访问资源。如果用户访问您的站点,然后访问并行站点,他们仍然可以进入,但如果用户只知道并行站点并且从未访问过真实站点,他们只会看到大量损坏的链接和图像。这可能足以阻止您的分身保持他的网站正常运行。
另一个(类似但更复杂的)选项是实施 CSRF 缓解。即使这不是 CSRF 情况,同样的缓解措施也会起作用。本质上,您会发出如上所述的 cookie,但另外在所有内容的 URL 中插入 cookie 值并要求它们匹配。这需要更多的工作(您需要在管道中插入一个过滤器或模块),但会阻止除您自己的用户之外的所有人。
【讨论】: