可通过JavaScript混淆视频源链接或服务端加密策略防止HTML5视频盗链:一、动态AES加密URL并JS解密;二、Token鉴权+服务端代理;三、Web Crypto分片解密+MediaSource;四、MSE自定义解封装+密钥混淆;五、DRM集成(Widevine/PlayReady)。
如果希望防止HTML5视频被直接下载或盗链,可通过JavaScript混淆视频源链接或结合服务端加密策略实现访问控制。以下是几种可行的技术方案:
一、动态生成加密视频URL并用JS解密
该方法将真实视频地址经对称加密(如AES)后嵌入页面,前端通过JS即时解密并赋值给video标签的src属性,使原始URL不以明文形式暴露在HTML源码中。
1、使用CryptoJS等库在服务端对视频文件路径进行AES加密,生成密文字符串。
2、将密文作为data属性写入video元素,例如:。
3、页面加载时执行JS脚本,调用相同密钥和IV对data-enc内容解密,获取真实URL。
4、将解密后的URL赋值给video元素的src属性,并调用load()方法重新加载媒体资源。
5、在解密逻辑中加入时间戳校验或单次有效标识,防止密文被长期复用。
二、Token鉴权+服务端动态代理播放
该方式不加密视频文件本身,而是通过服务端控制访问权限,每次请求携带一次性签名token,后端验证通过后才返回视频流,使直接访问视频URL失效。
1、前端JS生成当前时间戳与随机数,拼接密钥后计算HMAC-SHA256签名,构造带token参数的视频URL,如:/video/proxy?id=abc&token=xxx&ts=171xxxxx。
2、将该URL设为video标签的src属性。
3、服务端收到请求后,提取ts和token,验证时间有效性(如5分钟内)及签名正确性。
4、验证通过后,以HTTP流方式读取原始视频文件,并设置Content-Disposition: inline及正确的Content-Type。
5、响应头中添加Access-Control-Allow-Origin: *(或限定域名)且禁止CORS预检缓存,确保video标签可正常加载。
三、Web Crypto API + 分片解密播放
将视频文件按固定大小切分为多个片段,每个片段单独加密,前端使用Web Crypto API在内存中逐片解密并构造MediaSource对象,实现不解密完整文件即可播放。
1、服务端使用AES-GCM对每个视频分片(如每512KB)加密,生成对应密文及IV、认证标签。
2、提供分片索引清单JSON接口,包含各分片URL、IV、tag及字节范围信息。
3、前端初始化MediaSource对象,创建sourceBuffer,按顺序fetch加密分片。
4、使用window.crypto.subtle.decrypt()对每个分片密文解密,得到原始MP4 moof+mdat数据块。
5、将解密后的ArrayBuffer append到sourceBuffer,触发浏览器解码渲染。
四、自定义MSE解封装+密钥硬编码
混淆
混淆绕过标准src加载机制,完全由JS控制媒体数据输入,将解密密钥隐藏于多层函数调用与字符串拼接中,增加静态分析难度。
1、将AES密钥拆分为多个变量,分散在不同闭包函数中,通过运行时拼接还原。
2、视频URL使用Base64或异或编码存储,在执行时动态还原。
3、使用MediaSource和sourceBuffer手动注入解密后的视频帧数据。
4、在关键解密函数中插入无副作用的混淆逻辑,例如:if (Date.now() % 7 === 0) { /* dummy */ }。
5、禁用开发者工具调试:通过重写console.log、设置debugger语句、检测devtools打开状态并暂停执行。
五、DRM集成(Widevine/PlayReady)
采用行业级内容保护方案,依赖浏览器内置DRM模块,视频内容始终以加密状态传输与解码,密钥由授权服务器安全分发。
1、使用Shaka Packager或Bento4工具对MP4文件进行CENC标准加密,生成带有PSSH信息的fMP4文件。
2、部署支持EME(Encrypted Media Extensions)的播放器,如Shaka Player或Video.js + contrib-eme插件。
3、配置license服务器URL,在needkey事件中向授权服务请求密钥,传入PSSH数据。
4、授权服务验证用户权限后返回加密密钥,浏览器DRM模块自动完成解密与播放。
5、确保HTTPS全站部署,且license接口启用HTTP Referer校验与IP白名单限制。
