您好,欢迎到访! 注册/登录
首页域名资讯 正文

借助Referers实现Nginx及Apache防盗链

博主:亿网亿网
2024-11-09 4 0条评论

Nginx防盗链

图片外链作为小网站的流量杀手不禁是不行的。在使用 Nginx 的情况下,我们可以在配置文件中定义一个 location ,用正则表达式匹配常用的图片文件后缀,随后的重点在于如何过滤掉非法访客。

方案一

1 2 3 4 5 6 7 8 9 location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ { access_log off; expires 1d; valid_referers none blocked *.trustauth.cn server_names ~\.google\. ~\.baidu\. ~\.bing\. ~\.so\. ~\.sogou\.; if ( $invalid_referer) { rewrite ^/ https://trustauth.cn/2016/09/10/57d379576fee1.jpg; } root /var/www/hexo; }

第四行的 valid_referers 顾名思义,指的是对合法来源的定义,随后的值含义如下(翻译自:Nginx Docs):

  • none :请求头中来源为空
  • blocked :请求头中有来源,但其内容被防火墙或代理代理服务器删除。这样的值不能以 “http://” or “https://”开头
  • *.trustauth.cn :任意的字符串,可以使用 * 通配符,这里我指定为本站所有来源
  • server_names 后面接 ~\.google\. 等:正则匹配常用搜索引擎域名,以放行搜索引擎的爬虫。除了搜索引擎,也可以按需添加。

随后用 Nginx 的 if 判断当前请求来源是否合法,不合法则将所访问的内容重写到一个403图片中。此处需要注意的是这个图片最好放在站外的图床中,比如上面这张就放在了 sm.ms 中,这样做并不是为了节省流量,而是为了避免请求403图片时又来到了如上的验证中,出现循环验证与重写。如果不使用外部图床,其实还有两个方案:

方案二

不重写到403图片,而是直接返回404或403:

1 2 3 4 5 6 7 8 9 10 location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ { access_log off; expires 1d; valid_referers none blocked *.trustauth.cn server_names ~\.google\. ~\.baidu\. ~\.bing\. ~\.so\. ~\.sogou\.; if ( $invalid_referer) { #return 404; return 403; } root /var/www/hexo; }

方案三

为403图片单独定义一个 location (两个 location 的顺序不能颠倒):

1 2 3 4 5 6 7 8 9 10 11 12 13 14 location ~ ^/403\.jpg$ { root /var/www; } location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ { access_log off; expires 1d; valid_referers none blocked *.trustauth.cn server_names ~\.google\. ~\.baidu\. ~\.bing\. ~\.so\. ~\.sogou\.; if ( $invalid_referer) { rewrite ^/ https://trustauth.cn/403.jpg; # rewrite ^/ https://trustauth.cn/2016/09/10/57d379576fee1.jpg; } root /var/www/hexo; }

注意事项

不要对再定义其他 location 来复写图片相关的格式的匹配,否则不能保证实现本需求。

Apache防盗链

对于 Apache 来说,自然就要用到 .htaccess 了,实现原理与 Nginx 是类似的。借助于 trustauth.cn 这个非常实用的网站,我们只需保证 mod_rewrite 已开启后(终端中执行 a2enmod rewrite 命令开启 mod_rewrite ),在这个网站上按需选择生成 .htaccess 后拷贝到服务器上的 .htaccess 中即可。

后记

这种使用 referer 过滤非法访客的方法简单实用,能防止所有直接复制图片链接到自己网站进行使用的盗链方式,但是由于 referer 是从请求头中获取的,修改请求头是件再容易不过的事情了,因此只能说无法防住更高级的盗链,同时对爬虫也是束手无策。这时就要用些相对高级的方法,例如对不同的请求生成不同的 key ,从而杜绝非法请求,Nginx 有一个现成的模块实现了这种方式:nginx-accesskey (此模块似乎已经很久没有更新过了,只找到了几年前的2.0.3版)。

SSL证书是HTTP明文协议升级HTTPS加密协议的重要渠道,是网络安全传输的加密通道。关于更多SSL证书的资讯,请关注数安时代(GDCA)。GDCA致力于网络信息安全,已通过WebTrust 的国际认证,是全球可信任的证书签发机构。GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议,并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。

海报
文章版权及转载声明

本文作者:亿网 网址:https://www.edns.com/ask/post/151287.html 发布于 2024-11-09
文章转载或复制请以超链接形式并注明出处。

相关文章