美文网首页运维
nginx 防盗链(13)

nginx 防盗链(13)

作者: 瓦力博客 | 来源:发表于2019-01-21 12:05 被阅读25次

    获取全套nginx教程,请访问瓦力博客

    防盗链是一种机制,也可以说是一种技术.目的就是防止自己网站上的东西(如图片,文件 etc。)被其他用户采用其他的技术手段来访问或者下载。简单来说就是防止自己站点资源被他人盗用

    1.盗链

    站点在页面呈现的时候拉取非本站的资源,称为盗链。准确的说,只有某些时候,这种跨站访问资源,才被称为盗链。假设B站点作为一个商业网站,有很多自主版权
    的图片,自身展示用于商业目的。而A站点,希望在自己的网站上面也展示这些图片,直接使用:

    <img src="http://b.com/photo.jpg"/>
    

    这样,大量的客户端在访问A站点时,实际上消耗了B站点的流量,而A站点却从中达成商业目的。从而不劳而获。这样的A站点着实令B站点不快的。

    2.nginx配置防盗链

    当浏览器向web服务器发送请求的时候,一般会在头信息中带上Referer字段,告诉服务器我是从哪个页面链接过来的,服务器基此可以获得一些信息用于处理。基于头信息的
    Referer字段,nginx识别指定的Referer,在客户端请求时,通过匹配referer头域与配置,对于指定放行,对于其他referer视为盗链。

    1.valid_referers

    valid_referers配置项是属于ngx_http_referer_module模块传送门{:target="_blank"}

    Syntax: valid_referers none | blocked | server_names | string ...;
    Default: —
    Context: server, location
    
    参数 说明
    none 请求标头中缺少"Referer"字段,也就是空Referer
    blocked "Referer"字段出现在请求标头中,但其值已被防火墙或代理服务器删除;这些值是不以"http://"或"https://"开头的字符串
    server_names 允许某个域名通过如walidrea.com
    arbitrary string 定义服务器名称和可选的URI前缀。服务器名称的开头或结尾可以包含“*”。在检查期间,“Referer”字段中的服务器端口被忽略
    regular expression 第一个符号应为“~”。应该注意的是,表达式将与“http://”或“https://”之后的文本匹配

    示例配置

    location ~ .*\.(jpg|gif|png)$ {
        root  /opt/app/code/images;
        gzip on;
        gzip_http_version 1.1;
        gzip_comp_level 2;
        gzip_types text/plain application/javascript application/x-javascript text/css application/xml text/javascript application/x-httpd-php image/jpeg image/gif image/png;
    
        valid_referers none blocked 116.62.113.218 walidream.com;
        if ($invalid_referer) {
            return 403;
        }   
    }
    

    允许访问服务器图片

    ssl

    不允许访问服务器图片

    ssl

    因为HTTPReferer头信息是可以通过程序来伪装生成的,所以通过Referer信息防盗链并非100%可靠,但是,它能够限制大部分的盗链

    相关文章

      网友评论

        本文标题:nginx 防盗链(13)

        本文链接:https://www.haomeiwen.com/subject/bvfcjqtx.html