nginx防盜鏈

• 2019 年 10 月 3 日
• 筆記

• 什麼是防盜鏈
• nginx防盜鏈
• 實例演示

什麼是防盜鏈

防盜鏈簡而言之就是防止第三方或者未進允許的域名訪問自己的靜態資源的一種限制技術。比如A網站有許多自己獨立的圖片素材不想讓其它網站通過直接調用圖片路徑的方式訪問圖片，於是採用防盜鏈方式來防止。

nginx防盜鏈

防盜鏈基於客戶端攜帶的referer實現，referer是記錄打開一個頁面之前記錄是從哪個頁面跳轉過來的標記資訊，如果別人只鏈接了自己網站的圖片或某個單獨的資源，而不是打開整個頁面，這就是盜鏈，referer就是之前的那個網站域名，正常的referer資訊有以下幾種

nginx防盜鏈的程式碼定義

• 定義合規的引用

valid_referers none | blocked | server_names | string ...;

• 拒絕不合規的引用：

if  ($invalid_referer) {      rewrite ^/.*$ http://www.b.org/403.html  }

參數說明：

• none:請求報文沒有referer首部，比如用戶直接在瀏覽器輸入域名訪問往web網站，就是沒有referer資訊
• blocked:請求報文由referer資訊，但無又有效值為空
• server_names:referer首部中包含本主機及nginx監聽的server_name
• invalid_referer:不合規的feferer引用

實例演示

測試頁面index.html

<!DOCTYPE html>  <html lang="en">  <head>      <meta charset="UTF-8">      <title>演示nginx防盜鏈</title>  </head>  <body>  <img src="http://dev.api.dd.com/timg.jpeg" style="width: 100px;height: 100px;" />  </body>  </html>

正常配置nginx不做防盜鏈處理

server {      listen 80;      server_name dev.api.dd.com;      root /Users/lidong/Desktop/wwwroot/dd_api/public;      index index.php index.html index.htm;      access_log /Users/lidong/wwwlogs/dev.api.dd.com_access.log;      error_log  /Users/lidong/wwwlogs/dev.api.dd.com_error.log;      location ~ [^/].php(/|$) {          fastcgi_pass   127.0.0.1:9000;          fastcgi_index  index.php;          fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;          include        fastcgi_params;      }        location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$ {      }        try_files $uri $uri/ @rewrite;      location @rewrite {          rewrite ^/(.*)$ /index.php?_url=/$1;      }    }`

運行http://localhost/index.html結果

配置限定的資源文件如果被第三方調用直接返回403

server {      listen 80;      server_name dev.api.dd.com;      root /Users/lidong/Desktop/wwwroot/dd_api/public;      index index.php index.html index.htm;      access_log /Users/lidong/wwwlogs/dev.api.dd.com_access.log;      error_log  /Users/lidong/wwwlogs/dev.api.dd.com_error.log;      location ~ [^/].php(/|$) {          fastcgi_pass   127.0.0.1:9000;          fastcgi_index  index.php;          fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;          include        fastcgi_params;      }        location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$ {          valid_referers none blocked dev.api.dd.com;          if ($invalid_referer)          {              return 403;          }      }        try_files $uri $uri/ @rewrite;      location @rewrite {          rewrite ^/(.*)$ /index.php?_url=/$1;      }    }

運行http://localhost/index.html結果

配置限定的資源文件如果被第三方調用直接返回一張404的圖片

server {      listen 80;      server_name dev.api.dd.com;      root /Users/lidong/Desktop/wwwroot/dd_api/public;      index index.php index.html index.htm;      access_log /Users/lidong/wwwlogs/dev.api.dd.com_access.log;      error_log  /Users/lidong/wwwlogs/dev.api.dd.com_error.log;      location ~ [^/].php(/|$) {          fastcgi_pass   127.0.0.1:9000;          fastcgi_index  index.php;          fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;          include        fastcgi_params;      }        location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$ {          valid_referers none blocked dev.api.dd.com;          if ($invalid_referer)          {              rewrite ^/ http://dev.api.dd.com/404.jpeg;          }      }        try_files $uri $uri/ @rewrite;      location @rewrite {          rewrite ^/(.*)$ /index.php?_url=/$1;      }    }

運行http://localhost/index.html結果

調用的圖片顯示302

用一張源站的404替換顯示