什么是防盗链?
有时候,当我们在网站上浏览图片时会遇到图片打不开,并看到提示:“403权限禁止”。这可能是正在浏览的这个网站用到的图片在盗用别的网站图片,而被盗用的网站采用了防盗链技术。
这个功能是很有用的,特别是对于图片站或视频站。
今天本文就聊聊如何实现防盗链。
以nginx为例,如何实现防盗链?
nginx referer指令
nginx有个模块模块:ngx_http_referer_module。
通常用于阻挡来源非法的域名请求。用nginx防盗链,就要用到它。
脚本如下:
server{ listen 80; server_name www.sharewaf.com; index index.html index.htm index.php; root /data/www; # 定义访问日志的路径和格式 access_log /tmp/nginx_access.log main; # 不记录静态文件的的访问日志 location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|flv|rar|zip|gz|bz2)$ { access_log off; expires 10d; valid_referers none blocked *.bing.com *.baidu.com *.google.com; if ($invalid_referer) { rewrite ^/ http://www.sharewaf.com/; #return 403; } } }
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|flv|rar|zip|gz|bz2) 表示对gif、jpg、png、swf、flv后缀的文件实行防盗链
valid_referers none blocked 表示对来路进行判断 if{ }里面内容的意思是,如果来路不是指定来路域名,如果来路不是指定来路就跳转到指定页面,当然直接返回403也是可以的。
另外需要知道的是:伪装Referer头部是非常简单的事情,所以这个模块只能用于阻止部分简单的非法请求,如果要实现高强度的防盗链,还是得用专业的WAF(web应用防火墙),如:ShareWAF。
另外要注意,有些合法的请求是不会带referer来源头部的,所以有时候不要拒绝来源头部(referer)为空的请求,否则会阻挡掉很多合法访问。
其它还可能能用于nginx防盗链的指令:
语法: referer_hash_bucket_size size;
默认值: referer_hash_bucket_size 64;
配置段: server, location
最后,配置文件设置完成别忘记重启nginx生效。