nginx referer简介
nginx模块ngx_http_referer_module通常用于阻挡来源非法的域名请求.我们应该牢记,伪装Referer头部是非常简单的事情,所以这个模块只能用于阻止大部分非法请求。我们应该记住,有些合法的请求是不会带referer来源头部的,所以有时候不要拒绝来源头部(referer)为空的请求.
图片防盗链配置示例如下
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
valid_referers none blocked *.91linux.org 91linux.org server_names ~\.google\. ~\.baidu\.;
if ($invalid_referer) {
return 403;
#rewrite ^/ https://www.91linux.org/403.jpg;
}
}
以上所有来至91linux.org和域名中包含google和baidu的站点都可以访问到当前站点的图片,如果来源域名不在这个列表中,那么$invalid_referer等于1,在if语句中返回一个403给用户,这样用户便会看到一个403的页面,如果使用下面的rewrite,那么盗链的图片都会显示403.jpg。如果用户直接在浏览器输入你的图片地址,那么图片显示正常,因为它符合none这个规则.
示例解析
第一行:
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
其中“gif|jpg|jpeg|png|bmp|swf”设置防盗链文件类型,自行修改,每个后缀用“|”符号分开!
第二行:
valid_referers none blocked *.91linux.org 91linux.org server_names ~\.google\. ~\.baidu\.;
就是白名单,允许文件链出的域名白名单,自行修改成您的域名! *.91linux.org这个指的是子域名,域名与域名之间使用空格隔开!baidu和google是搜索引擎。
第五行:
rewrite ^/ https://www.91linux.org/403.jpg;
这个图片是盗链返回的图片,也就是替换盗链网站所有盗链的图片。这个图片要放在没有设置防盗链的网站上,因为防盗链的作用,这个图片如果也放在防盗链网站上就会被当作防盗链显示不出来了,盗链者的网站所盗链图片会显示X符号;当然你也可以直接返回403
扩展
这样设置差不多就可以起到防盗链作用了,但并不是彻底地实现真正意义上的防盗链!
我们来看第三行:valid_referers none blocked *.91linux.org 91linux.org server_names ~\.google\. ~\.baidu\.;
valid_referers 里多了“none blocked”
我们把“none blocked”删掉,改成
valid_referers *.91linux.org 91linux.org server_names ~\.google\. ~\.baidu\.;
- none
“Referer” 来源头部为空的情况 - blocked
“Referer”来源头部不为空,但是里面的值被代理或者防火墙删除了,这些值都不以http://或者https://开头.
nginx彻底地实现真正意义上的防盗链完整的代码应该是这样的:
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
valid_referers *.91linux.org 91linux.org server_names ~\.google\. ~\.baidu\.;
if ($invalid_referer) {
return 403;
#rewrite ^/ https://www.91linux.org/403.jpg;
}
}
这样您在浏览器直接输入图片地址就不会再显示图片出来了,也不可能会再右键另存什么的。
但是有些合法的请求是不会带referer来源头部的,所以有时候不要拒绝来源头部(referer)为空的请求.