借助Referers实现Nginx及Apache防盗链

Nginx防盗链

图片外链作为小网站的流量杀手不禁是不行的。在使用 Nginx 的情况下，我们可以在配置文件中定义一个 location ，用正则表达式匹配常用的图片文件后缀，随后的重点在于如何过滤掉非法访客。

方案一

location  ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
    access_log   off;
    expires      1d;
    valid_referers none blocked *.eason-yang.com server_names ~\.google\. ~\.baidu\. ~\.bing\. ~\.so\. ~\.sogou\.;
    if ($invalid_referer) {
        rewrite ^/ https://ooo.0o0.ooo/2016/09/10/57d379576fee1.jpg;
    }
    root /var/www/hexo;                  
}
第四行的 valid_referers 顾名思义，指的是对合法来源的定义，随后的值含义如下（翻译自：Nginx Docs）：

none ：请求头中来源为空
blocked ：请求头中有来源，但其内容被防火墙或代理代理服务器删除。这样的值不能以 “http://” or “https://”开头
*.eason-yang.com ：任意的字符串，可以使用 * 通配符，这里我指定为本站所有来源
server_names 后面接 ~\.google\. 等：正则匹配常用搜索引擎域名，以放行搜索引擎的爬虫。除了搜索引擎，也可以按需添加。
随后用 Nginx 的 if 判断当前请求来源是否合法，不合法则将所访问的内容重写到一个403图片中。此处需要注意的是这个图片最好放在站外的图床中，比如上面这张就放在了 sm.ms 中，这样做并不是为了节省流量，而是为了避免请求403图片时又来到了如上的验证中，出现循环验证与重写。如果不使用外部图床，其实还有两个方案：

方案二

不重写到403图片，而是直接返回404或403：

location  ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
    access_log   off;
    expires      1d;
    valid_referers none blocked *.eason-yang.com server_names ~\.google\. ~\.baidu\. ~\.bing\. ~\.so\. ~\.sogou\.;
    if ($invalid_referer) {
        #return 404;
        return 403;
    }
    root /var/www/hexo;                  
}
方案三

为403图片单独定义一个 location （两个 location 的顺序不能颠倒）：

    location ~ ^/403\.jpg$ {
        root    /var/www;
    }
    location  ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
        access_log   off;
        expires      1d;
        valid_referers none blocked *.eason-yang.com server_names ~\.google\. ~\.baidu\. ~\.bing\. ~\.so\. ~\.sogou\.;
        if ($invalid_referer) {
            rewrite ^/ https://eason-yang.com/403.jpg;
#            rewrite ^/ https://ooo.0o0.ooo/2016/09/10/57d379576fee1.jpg;
        }
        root /var/www/hexo;                  
    }
注意事项

不要对再定义其他 location 来复写图片相关的格式的匹配，否则不能保证实现本需求。

Apache防盗链

对于 Apache 来说，自然就要用到 .htaccess 了，实现原理与 Nginx 是类似的。借助于 htaccesstools.com 这个非常实用的网站，我们只需保证 mod_rewrite 已开启后（终端中执行 a2enmod rewrite 命令开启 mod_rewrite ），在这个网站上按需选择生成 .htaccess 后拷贝到服务器上的 .htaccess 中即可。

后记

这种使用 referer 过滤非法访客的方法简单实用，能防止所有直接复制图片链接到自己网站进行使用的盗链方式，但是由于 referer 是从请求头中获取的，修改请求头是件再容易不过的事情了，因此只能说无法防住更高级的盗链，同时对爬虫也是束手无策。这时就要用些相对高级的方法，例如对不同的请求生成不同的 key ，从而杜绝非法请求，Nginx 有一个现成的模块实现了这种方式：nginx-accesskey （此模块似乎已经很久没有更新过了，只找到了几年前的2.0.3版）。

Nginx防盗链 本文来自无奈人生安全网

图片外链作为小网站的流量杀手不禁是不行的。在使用 Nginx 的情况下，我们可以在配置文件中定义一个 location ，用正则表达式匹配常用的图片文件后缀，随后的重点在于如何过滤掉非法访客。

方案一

本文来自无奈人生安全网

location  ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
    access_log   off;
    expires      1d;
    valid_referers none blocked *.eason-yang.com server_names ~\.google\. ~\.baidu\. ~\.bing\. ~\.so\. ~\.sogou\.;
    if ($invalid_referer) {
        rewrite ^/ https://ooo.0o0.ooo/2016/09/10/57d379576fee1.jpg;
    }
    root /var/www/hexo;                  
}
第四行的 valid_referers 顾名思义，指的是对合法来源的定义，随后的值含义如下（翻译自：Nginx Docs）：

none ：请求头中来源为空
blocked ：请求头中有来源，但其内容被防火墙或代理代理服务器删除。这样的值不能以 “http://” or “https://”开头
*.eason-yang.com ：任意的字符串，可以使用 * 通配符，这里我指定为本站所有来源
server_names 后面接 ~\.google\. 等：正则匹配常用搜索引擎域名，以放行搜索引擎的爬虫。除了搜索引擎，也可以按需添加。
随后用 Nginx 的 if 判断当前请求来源是否合法，不合法则将所访问的内容重写到一个403图片中。此处需要注意的是这个图片最好放在站外的图床中，比如上面这张就放在了 sm.ms 中，这样做并不是为了节省流量，而是为了避免请求403图片时又来到了如上的验证中，出现循环验证与重写。如果不使用外部图床，其实还有两个方案：

copyright 无奈人生

方案二

不重写到403图片，而是直接返回404或403：

copyright 无奈人生

location  ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
    access_log   off;
    expires      1d;
    valid_referers none blocked *.eason-yang.com server_names ~\.google\. ~\.baidu\. ~\.bing\. ~\.so\. ~\.sogou\.;
    if ($invalid_referer) {
        #return 404;
        return 403;
    }
    root /var/www/hexo;                  
}
方案三 copyright 无奈人生

为403图片单独定义一个 location （两个 location 的顺序不能颠倒）：

无奈人生安全网

    location ~ ^/403\.jpg$ {
        root    /var/www;
    }
    location  ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
        access_log   off;
        expires      1d;
        valid_referers none blocked *.eason-yang.com server_names ~\.google\. ~\.baidu\. ~\.bing\. ~\.so\. ~\.sogou\.;
        if ($invalid_referer) {
            rewrite ^/ https://eason-yang.com/403.jpg;
#            rewrite ^/ https://ooo.0o0.ooo/2016/09/10/57d379576fee1.jpg;
        } 无奈人生安全网
        root /var/www/hexo;                  
    }
注意事项 本文来自无奈人生安全网

不要对再定义其他 location 来复写图片相关的格式的匹配，否则不能保证实现本需求。 www.wnhack.com

Apache防盗链

本文来自无奈人生安全网

对于 Apache 来说，自然就要用到 .htaccess 了，实现原理与 Nginx 是类似的。借助于 htaccesstools.com 这个非常实用的网站，我们只需保证 mod_rewrite 已开启后（终端中执行 a2enmod rewrite 命令开启 mod_rewrite ），在这个网站上按需选择生成 .htaccess 后拷贝到服务器上的 .htaccess 中即可。 copyright 无奈人生

后记

本文来自无奈人生安全网

这种使用 referer 过滤非法访客的方法简单实用，能防止所有直接复制图片链接到自己网站进行使用的盗链方式，但是由于 referer 是从请求头中获取的，修改请求头是件再容易不过的事情了，因此只能说无法防住更高级的盗链，同时对爬虫也是束手无策。这时就要用些相对高级的方法，例如对不同的请求生成不同的 key ，从而杜绝非法请求，Nginx 有一个现成的模块实现了这种方式：nginx-accesskey （此模块似乎已经很久没有更新过了，只找到了几年前的2.0.3版）。 内容来自无奈安全网

。 (责任编辑：admin)