站点介绍
听说网页中包含外链会被 SEO 降权,最近写文章经常需要用到外链指路,于是萌生外链转内链的想法,谷歌了一圈发现基本的套路都是:{本站地址}/go.php?url={外链地址}。这种链接存在被人恶意调用的风险,为此需要一些额外的防护措施:
外链地址加密,只有自己能生成加密外链地址,其他人无法干预
未加密或非本人创建的外链地址无效,直接跳转到首页
禁止其他网站使用跳转链接
防止注入式恶意调用
除了有可能被降权之外,有时候外链是 http形式,会导致页面存在 https和 http两种协议,浏览器会将页面标记为 不安全,外链转内链可以解决这种困扰
理论上讲使用公钥私钥的非对称加密方式是最安全的,但这种加解密所耗费的时间和服务器资源太高,最后采用了 AES-256-CBC 对称性加密。感谢 张戈博客分享的 php 源码,本文在他的思路基础上做了以下改动:
将公开的 Base64 转换,改为需要密钥的 AES-256-CBC 加解密
屏蔽所有解密验证失败的跳转地址,直接返回站点首页
使之适用于 Z-blog 程序,自动将文章和评论的外链进行转换
将以下代码复制,把 $key修改为你自己的自定义密钥,另存为 goto.php,上传到网站根目录
<?php if(strlen($_SERVER['REQUEST_URI']) > 384 || strpos($_SERVER['REQUEST_URI'], "eval(") || strpos($_SERVER['REQUEST_URI'], "base64")) { @header("http/1.1 414 Request-URI Too Long"); @header("Status: 414 Request-URI Too Long"); @header("Connection: Close"); @exit;}//通过QUERY_STRING取得完整的传入数据,然后取得url=之后的所有值,兼容性更好$t_url = preg_replace('/^url=(.*)$/i','$1',$_SERVER["QUERY_STRING"]); //定义解密函数function decrypt($encrypt){ $key = 'hello_world';//自定义解密钥匙 $encrypt = json_decode(base64_decode($encrypt), true); $iv = base64_decode($encrypt['iv']); $decrypt = openssl_decrypt($encrypt['value'], 'AES-256-CBC', $key, 0, $iv); $val = unserialize($decrypt); if($val){ return $val; }else{ return 0; }} //数据处理if(!empty($t_url)) { $t_url = decrypt($t_url); //对取值进行网址校验和判断 preg_match('/^(http|https|thunder|qqdl|ed2k|Flashget|qbrowser):\/\//i',$t_url,$matches); if($matches){ $url=$t_url; $title='页面加载中,请稍候...'; } else { preg_match('/\./i',$t_url,$matche); if($matche){ $url='http://'.$t_url; $title='页面加载中,请稍候...'; } else { //密文无效时直接返回首页 $url = 'http://'.$_SERVER['HTTP_HOST']; $title='参数错误,正在返回首页...'; } } } else { //密文为空时直接返回首页 $title = '参数缺失,正在返回首页...'; $url = 'http://'.$_SERVER['HTTP_HOST'];}?><html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8"><meta name="robots" content="noindex, nofollow" /><noscript><meta http-equiv="refresh" content="1;url='<?php echo $url;?>';"></noscript><script>function link_jump(){ //禁止其他网站使用我们的跳转页面 var MyHOST = new RegExp("<?php echo $_SERVER['HTTP_HOST']; ?>"); if (!MyHOST.test(document.referrer)) { location.href="http://" + MyHOST; } else { location.href="<?php echo $url;?>"; }}//延时1S跳转,可自行修改延时时间setTimeout(link_jump, 1000);//延时50S关闭跳转页面,用于文件下载后不会关闭跳转页的问题setTimeout(function(){window.opener=null;window.close();}, 50000);</script><title><?php echo $title;?></title><style type="text/css">body{background:#555}.loading{-webkit-animation:fadein 2s;-moz-animation:fadein 2s;-o-animation:fadein 2s;animation:fadein 2s}@-moz-keyframes fadein{from{opacity:0}to{opacity:1}}@-webkit-keyframes fadein{from{opacity:0}to{opacity:1}}@-o-keyframes fadein{from{opacity:0}to{opacity:1}}@keyframes fadein{from{opacity:0}to{opacity:1}}.spinner-wrapper{position:absolute;top:0;left:0;z-index:300;height:100%;min-width:100%;min-height:100%;background:rgba(255,255,255,0.93)}.spinner-text{position:absolute;top:45%;left:50%;margin-left:-100px;margin-top:2px;color:#000;letter-spacing:1px;font-size:20px;font-family:Arial}.spinner{position:absolute;top:45%;left:50%;display:block;margin-left:-160px;width:1px;height:1px;border:20px solid rgba(255,0,0,1);-webkit-border-radius:50px;-moz-border-radius:50px;border-radius:50px;border-left-color:transparent;border-right-color:transparent;-webkit-animation:spin 1.5s infinite;-moz-animation:spin 1.5s infinite;animation:spin 1.5s infinite}@-webkit-keyframes spin{0%,100%{-webkit-transform:rotate(0deg) scale(1)}50%{-webkit-transform:rotate(720deg) scale(0.6)}}@-moz-keyframes spin{0%,100%{-moz-transform:rotate(0deg) scale(1)}50%{-moz-transform:rotate(720deg) scale(0.6)}}@-o-keyframes spin{0%,100%{-o-transform:rotate(0deg) scale(1)}50%{-o-transform:rotate(720deg) scale(0.6)}}@keyframes spin{0%,100%{transform:rotate(0deg) scale(1)}50%{transform:rotate(720deg) scale(0.6)}}</style></head><body><div class="loading"> <div class="spinner-wrapper"> <span class="spinner-text">页面加载中,请稍候...</span> <span class="spinner"></span> </div></div></body></html>在主题的 include.php页面底部 ?>标签前添加以下代码,把 $key修改与前面 goto.php相同的自定义值
//加密函数function Aes_Encrypted($val){ global $zbp; $val=serialize($val); $key="hello_world"; if(strpos($val,'://')!==false && strpos($val,str_replace(array('http:','https:','/'),'',$zbp->host))===false && !preg_match('/\.(jpg|jepg|png|ico|bmp|gif|tiff)/i',$val) && !preg_match('/(ed2k|thunder|Flashget|flashget|qqdl):\/\//i',$val)){ $data['iv']=base64_encode(substr('fdakinel;injajdji',0,16)); $data['value']=openssl_encrypt($val, 'AES-256-CBC',$key,0,base64_decode($data['iv'])); $encrypt=$zbp->host."goto.php?url=".base64_encode(json_encode($data)); } else { $encrypt=$val; } return $encrypt;}在主题的 template\single.php页面顶部,加入以下代码
{php}//文章外链加密跳转//获取链接进行替换$content = $article->Content; preg_match_all('/<a(.*?)href="(.*?)"(.*?)>/',$content,$matches);if($matches){ foreach($matches[2] as $val){ $content=str_replace("href=\"$val\"", "href=\"".Aes_Encrypted($val)."\" rel=\"nofollow\"",$content); }}$article->Content = $content;{/php}在主题的 template\comment.php,把 {$comment.Author.HomePage}改为以下语句,注意需要同时替换掉 {$comment.Author.HomePage}两边的双引号
{php}echo Aes_Encrypted($comment->Author->HomePage){/php}以上其实已经实现了文章和评论外链自动转换为 {本站地址}/goto.php?url={加密外链地址}的形式,如果想实现伪静态,变成 {本站地址}/goto/{加密外链地址},可以往 Nginx中加入如下规则,oneinstack 的重定向配置文件地址在 /usr/local/nginx/conf/rewrite,直接写在 conf文件的 location / {的前面即可
# 外链跳转伪静态 php版本rewrite ^/goto/(.*)$ /goto.php?url=$1 last;
如果设置了伪静态,第二步 include.php的函数要做相应的更改,把 goto.php?url=改为 goto/
//加密函数function Aes_Encrypted($val){ global $zbp; $val=serialize($val); $key="hello_world"; if(strpos($val,'://')!==false && strpos($val,str_replace(array('http:','https:','/'),'',$zbp->host))===false && !preg_match('/\.(jpg|jepg|png|ico|bmp|gif|tiff)/i',$val) && !preg_match('/(ed2k|thunder|Flashget|flashget|qqdl):\/\//i',$val)){ $data['iv']=base64_encode(substr('fdakinel;injajdji',0,16)); $data['value']=openssl_encrypt($val, 'AES-256-CBC',$key,0,base64_decode($data['iv'])); $encrypt=$zbp->host."goto/".base64_encode(json_encode($data)); } else { $encrypt=$val; } return $encrypt;}前面在加密外链的过程中已经同时为文章外链增加了 rel="nofollow"标签,保险起见,可以同时在站点根目录建立 robots.txt文件,写入以下爬虫规则
Disallow: /goto/