快捷導(dǎo)航

Nginx實(shí)現(xiàn)防盜鏈的多種方式

更新時(shí)間：2025年01月16日 09:10:45 作者：薛偉同學(xué)

防盜鏈指的是防止其他網(wǎng)站未經(jīng)許可直接引用你的資源（如圖片、音視頻文件、文檔等）,這樣做不僅能有效節(jié)約帶寬,還能防止未經(jīng)授權(quán)的內(nèi)容被濫用,本文給大家介紹了Nginx實(shí)現(xiàn)防盜鏈的多種方式,需要的朋友可以參考下

什么是防盜鏈

防盜鏈指的是防止其他網(wǎng)站未經(jīng)許可直接引用你的資源（如圖片、音視頻文件、文檔等）。這樣做不僅能有效節(jié)約帶寬，還能防止未經(jīng)授權(quán)的內(nèi)容被濫用。最常見(jiàn)的防盜鏈技術(shù)就是通過(guò)檢查請(qǐng)求的Referer頭部，判斷請(qǐng)求的來(lái)源是否合法。

Nginx 防盜鏈的基本原理

防盜鏈的原理通常是根據(jù)請(qǐng)求的 HTTP Referer 頭 來(lái)判斷請(qǐng)求是否來(lái)自授權(quán)域名。如果請(qǐng)求是從非授權(quán)的域名發(fā)起的，Nginx 可以拒絕該請(qǐng)求。具體的防盜鏈實(shí)現(xiàn)方式有多種，常見(jiàn)的是基于 Referer 和 IP 地址進(jìn)行限制。

基于 Referer 頭的防盜鏈

Referer 頭是瀏覽器在發(fā)起 HTTP 請(qǐng)求時(shí)自動(dòng)添加的字段，指示當(dāng)前請(qǐng)求是從哪個(gè)頁(yè)面跳轉(zhuǎn)過(guò)來(lái)的。防盜鏈的基本做法是，只有從自己的網(wǎng)站或者授權(quán)的域名發(fā)送的請(qǐng)求才能正常訪(fǎng)問(wèn)資源，其他來(lái)源的請(qǐng)求會(huì)被拒絕。

基本配置

以下是一個(gè)基于 Referer 頭的簡(jiǎn)單防盜鏈配置：

server {
    listen 80;
    server_name example.com;

    location ~* \.(jpg|jpeg|png|gif|bmp|webp|mp4)$ {
        valid_referers none blocked example.com *.example.com;
        if ($invalid_referer) {
            return 403;  # 非授權(quán)的 Referer，返回 403 錯(cuò)誤
        }
    }
}

配置解釋?zhuān)?/p>

valid_referers：指定允許訪(fǎng)問(wèn)資源的 Referer 域名或 IP 地址。
- none：表示沒(méi)有 Referer 字段的請(qǐng)求（例如，直接通過(guò)書(shū)簽訪(fǎng)問(wèn)）。
- blocked：表示 Referer 字段為空或者包含非法字符的請(qǐng)求。
- example.com：表示允許來(lái)自 example.com 的請(qǐng)求。
- *.example.com：表示允許來(lái)自 example.com 子域名的請(qǐng)求。
if ($invalid_referer)：如果請(qǐng)求的 Referer 不符合上面的規(guī)則，Nginx 會(huì)返回 403 錯(cuò)誤，拒絕請(qǐng)求。

案例：保護(hù)圖片資源

假設(shè)你的圖片資源存放在 /var/www/example.com/images/ 目錄下，你希望只有來(lái)自你自己網(wǎng)站（如 example.com）的請(qǐng)求能訪(fǎng)問(wèn)這些圖片。其他域名（如盜鏈的第三方網(wǎng)站）訪(fǎng)問(wèn)時(shí)會(huì)返回 403 錯(cuò)誤。

server {
    listen 80;
    server_name example.com;

    location /images/ {
        valid_referers none blocked example.com *.example.com;
        if ($invalid_referer) {
            return 403;  # 拒絕盜鏈
        }
        root /var/www/example.com;
    }
}

這樣，只有訪(fǎng)問(wèn) example.com/images/ 并且 Referer 是 example.com 或其子域名的請(qǐng)求才會(huì)成功，其他站點(diǎn)盜鏈時(shí)將被拒絕。

基于 IP 地址的防盜鏈

除了使用 Referer 頭外，還可以通過(guò)限制 IP 地址來(lái)防止外部站點(diǎn)盜鏈。雖然這種方式不如基于 Referer 的方法直接，但在某些情況下，結(jié)合使用會(huì)更加安全。

基本配置

server {
    listen 80;
    server_name example.com;

    location /images/ {
        allow 192.168.1.0/24;  # 允許特定 IP 范圍訪(fǎng)問(wèn)
        deny all;               # 拒絕其他 IP 訪(fǎng)問(wèn)
        root /var/www/example.com;
    }
}

配置解釋?zhuān)?/p>

allow：允許特定 IP 或 IP 范圍訪(fǎng)問(wèn)資源。
deny：拒絕其他 IP 的訪(fǎng)問(wèn)。

這種配置可以用于限制只允許公司內(nèi)部的 IP 地址訪(fǎng)問(wèn)特定的資源。

防盜鏈的增強(qiáng)措施

為了進(jìn)一步增強(qiáng)防盜鏈的效果，可以結(jié)合以下措施：

限制 HTTP 方法

通過(guò)限制不必要的 HTTP 方法，減少外部濫用的風(fēng)險(xiǎn)。

server {
    listen 80;
    server_name example.com;

    location /images/ {
        valid_referers none blocked example.com *.example.com;
        if ($invalid_referer) {
            return 403;
        }
        limit_except GET POST {
            deny all;  # 只允許 GET 和 POST 方法
        }
    }
}

使用 Token 驗(yàn)證

你可以通過(guò)在請(qǐng)求 URL 中使用加密的 Token 來(lái)驗(yàn)證請(qǐng)求是否合法。只有合法的請(qǐng)求才能通過(guò) Nginx 訪(fǎng)問(wèn)資源。這種方法通常用于視頻、音頻等媒體資源的防盜鏈。

設(shè)置緩存時(shí)間

對(duì)不常更改的資源（如圖片、視頻等）設(shè)置合理的緩存時(shí)間，減少盜鏈帶來(lái)的帶寬消耗。

location ~* \.(jpg|jpeg|png|gif|bmp)$ {
    expires 30d;  # 緩存 30 天
}

實(shí)際場(chǎng)景

防止圖片被盜鏈

一個(gè)常見(jiàn)的實(shí)際場(chǎng)景是防止其他網(wǎng)站盜用你網(wǎng)站的圖片。如果你的圖片資源很大，被其他站點(diǎn)盜用會(huì)導(dǎo)致帶寬浪費(fèi)，同時(shí)也可能影響你網(wǎng)站的加載速度和 SEO 排名。你可以通過(guò) Nginx 配置 Referer 防盜鏈，只允許自己的站點(diǎn)加載圖片。

保護(hù)下載文件

對(duì)于一些需要付費(fèi)或特定用戶(hù)才可以下載的文件（如電子書(shū)、軟件包等），你可以通過(guò)防盜鏈策略來(lái)確保只有購(gòu)買(mǎi)或注冊(cè)的用戶(hù)能訪(fǎng)問(wèn)這些資源。

server {
    listen 80;
    server_name example.com;

    location /downloads/ {
        valid_referers none blocked example.com;
        if ($invalid_referer) {
            return 403;
        }
        root /var/www/example.com;
    }
}