Nginx通过Referer指令进行防盗链设置

简介：
本文介绍如何使用Nginx服务器中的Referer指令来配置防盗链策略，防止网站资源被非法盗用。 在网络安全与资源保护方面，防止未经授权的外部网站盗用服务器上的图片、视频等资源至关重要。Nginx 提供了一个名为 `ngx_http_referer_module` 的模块来处理 HTTP 请求头中的 `Referer` 字段，以此实现防盗链功能。 本段落将详细介绍如何使用 Nginx 的 `referer` 指令进行防盗链配置： 当用户访问一个页面时，HTTP 请求头中会包含 `Referer` 字段以指示用户的来源 URL。若要防止未经授权的网站盗用服务器上的资源，在接收到不符合预设合法来源的请求时，Nginx 可拒绝提供服务。 以下是使用 Nginx 的 `referer` 指令配置防盗链的一个示例： ```nginx location ~* .(gif|jpg|png|webp)$ { valid_referers none blocked domain.com *.domain.com server_names ~.google. ~.baidu.; if ($invalid_referer) { return 403; # rewrite ^ http://www.domain.com/403.jpg; } root /opt/www/image; } ``` 在这段配置中，`location` 指令匹配以 `.gif`, `.jpg`, `.png` 或 `.webp` 结尾的 URL。这些是常见的图片文件格式。 - `none`: 允许空 `Referer` 访问。 - `blocked`: 如果请求头中的 `Referer` 被代理或防火墙删除，且不以 http: 或 https: 开头，则视为合法来源。 - `domain.com` 和 `*.domain.com`: 允许来自该域名及其所有子域名的访问。 - `server_names`: 包含当前服务器名（例如 domain.com）的请求被视为合法。 - 正则表达式：允许匹配 `.google.` 和 `.baidu.` 的来源。 如果请求头中的 `Referer` 不在上述列表中，Nginx 将设置 `$invalid_referer` 变量为 1。当此变量等于 1 时，用户将收到一个 403 错误页面。若使用 `rewrite` 指令，则盗链的图片会被重定向到服务器上指定的一个错误图。 例如，通过命令行工具如 `curl` 来测试防盗链配置的效果：当请求头中的 `Referer` 是合法来源（比如 http://www.baidu.com）时，会返回 200 状态码并显示正常图像；而来自非法来源的请求（比如 http://www.qq.com）则会被拒绝访问，并返回 403 错误状态。 尽管防盗链配置可以有效防止大多数未经授权的资源盗用行为，但需要注意的是 `Referer` 字段是可以被篡改的。因此，一些恶意用户可能会通过构造特定请求来绕过防盗链规则。为了更全面地保护服务器资源的安全性，还需要结合其他安全措施，如 IP 黑名单、访问频率限制等。 Nginx 的 `referer` 指令为网站提供了基本的防盗链功能，通过配置合法的 `Referer` 值可以防止未经授权使用资源的情况。然而，要全面保护服务器上的资源不被滥用，则需要综合运用多种策略来确保安全。