NGINX 域名及IP白名单拦截,Referer防盗链设置

原创 已于 2022-07-05 16:53:41 修改 · 1.8k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#大数据 #nginx #运维 #centos #服务器

于 2022-07-05 16:46:08 首次发布
本文详细介绍了如何通过NGINX配置实现域名和IP白名单拦截非法请求,以及利用Referer防盗链保护资源安全。内容包括四种方法:主机名正则匹配、default_server定义、Referer防盗链模块以及白名单和防盗链的组合限制,通过实例展示了配置效果。

        针对线上对外NGINX代理服务安全非常重要,接下来针对域名IP白名单配置来拦截非法请求,同时通过Referer防盗链设置判断该请求是否为合法请求,具体看本文测试操作结果。

方式一:通过http_Host来源判断主机名正则匹配:

         server_name   www.test.com 172.17.80.104;

        if ($http_Host !~* ^www.test.com|172.17.80.104$)

        {

            return 500;

        }

域名和IP都可以访问:

        

        

IP172.17.80.104访问失败

server_name   www.test.com;

        if ($http_Host !~* ^www.test.com$)

        {

            return 500;

        }

IP访问结果:

         通过IP访问被限制并跳转到错误500

                

                 

方式二:通过default_server 定义及匹配规则:

server {

  listen 172.17.80.104:80 default_server;

  server_name _;

  return 500;

}

    server {

        listen       172.17.80.104:80;

        server_name   www.test.com 172.17.80.104;

名单中域名正常访问:

                

未加入域名访问失败:

                

IP地址访问正常:

                

方法三:Nginx-利用Referer防盗链

        nginx的referer防盗链模块,利用http请求头中的 referer 信息进行校验,判断该请求是否为合法请求,是则放行,否则可以自定义返回一个结果,可防止大部分网址引用自己的资源,但是referer是可以伪造的,伪造后可以继续访问资源

1、ngx_http_referer_module模块:

用来阻止Referer首部无有效值的请求访问,可防止盗链

2、valid_referers none|blocked|server_names|string ...;

定义referer首部的合法可用值,不能匹配的将是非法值

none:请求报文首部没有referer首部

blocked:请求报文有referer首部,但无有效值

server_names:referer首部中包含本主机名

arbitrary_string:任意字符串,但可使用*作通配符

regular expression:被指定的正则表达式模式匹配到的字符串,要使用~开头,例如: ~.*.baidu.com

         server_name   www.test.com www.test2.com 172.17.80.104;

        # 拦截非法referer ,none  和 blocked 的区别看以上说明

        valid_referers blocked www.test.com 172.17.80.104 ;

        if ($invalid_referer) {

                return 403 ;

                #rewrite ^.*$ http://www.baidu.com/403.jpg;

        }

方法四:白名单加防盗链组合限制

         server {

        listen 172.17.200.234:80 default;

        server_name _;

        return 403;

}

         server_name  172.17.200.234 121.52.218.104 abc.longdundata.com;

         #拦截非法referer

         valid_referers none blocked  www.test.com;

        if ($invalid_referer) {

                return 403 ;

         }

         通过abc.longdundata.com访问显示异常,虽然白名单添加可以访问但referer未添加域名导致访问失败:

                

nginx屏蔽特定http_referer的请求
Bertram的博客
12-22 4717
<div class="single-content"> <div class="tg-pc tg-site"><a href="https://www.xinshouzhanzhang.com/url/youhui/" target="_blank"><img src="https://www.xinshouzhanzhang.com/wp-content/themes/zh...
Nginx-利用Referer防盗链】解决网站被可疑链接调取接口
小啊宇的博客
03-02 831
这两天网站访问速度变慢,查看nginx日志会有很多的大量请求带有可疑的referer 查看nginx日志 Nginx-利用Referer防盗链 语法: 1、ngx_http_referer_module模块: 用来阻止Referer首部无有效值的请求访问,可防止盗链 2、valid_referers none|blocked|server_names|string ...; 定义referer首部的合法可用值,不能匹配的将是非法值 none:请求报文首部没有referer首部 blocked:请求报文有r
通过nginx代理拦截请求进行全局访问限制
01-10
本文介绍了通过nginx代理拦截请求进行全局访问限制,分享给大家,具体如下: 运行环境: Ubantu 14.0  tomcat7  nginx 1.4.6(更新后1.5.6) 项目中经常会用到权限管理,必然的就会存在权限的设定和验证;对于登陆或者模块的权限设定验证,在项目中直接实现;那么问题出现了 1.访问资源文件 2.多项目访问权限 3.tomcat中虚拟目录的访问权限 公司项目中用到文件的上传下载,在线预览等功能;当然用户在使用的时候,我们不可能把用户的上传的文件放在项目中,那么必然会用到 虚拟目录来映射文件的位置,或者说跨域夸项目;如果没有对这些进行一个访问的权限的限制,那
七牛云如何设置访问白名单
最新发布
城南蝈蝈
10-28 36
七牛云外链防盗设置指南:为防止外链被盗用,可通过设置Referer白名单控制访问权限。具体操作:进入七牛云对象存储空间设置,找到"Referer"防盗链功能,在指定区域填入允许访问的域名白名单,保存设置即可有效防止未经授权的访问。该功能可保护资源仅被指定域名调用,避免外链被恶意盗用。(98字)
如何配置百度地图应用访问白名单
热门推荐
呆呆papa的博客
08-06 1万+
百度地图的应用有四种类型,移动端(ios和Android)不需要ak、浏览器端需要设置Referer白名单服务器端需要设置IP白名单。接下来会在官方给出的白名单配置的基础上进一步说明:什么是Referer?http的请求首部中有一个Referer字段,用来说明包含了当前请求的URI的文档的URL。 譬如,在访问www.baidu.com的时候,服务器返回一个HTML,这个文档中包含了图片等其他资源,又会向服务器发送http请求获取这些资源,而这些资源的http请求头中会有一个Referer字段,标识包含这
openresty、nginx 拦截非法请求, referer模块 ngx_http_referer_module
秋̶᭄ꦿ攻城狮࿆ྂ
06-12 2581
referer模块 ngx_http_referer_module 默认编译进nginx nacos 403 valid_referers 指令 官网可参考 http://nginx.org/en/docs/http/ngx_http_referer_module.html#valid_referers Syntax: valid_referers none | blocked | server_names | string ...; server, location
如何给Nginx配置访问IP白名单
lxw1844912514的博客
09-26 1万+
如果想增加允许访问的IP范围,例如10.10.10.0~10.10.10.255,需要使用CIDR格式表示你的IP范围,在Nginx中默认仅允许IP地址和CIDR格式,CIDR转IPv4网站:https://www.ipaddressguide.com/cidr。给的,将需要做301跳转的IP,直接写到/tmp/ip文件中,支持网段,一行一个,添加后不需要重启nginx,即时生效。不确定或者不能访问外网的话,就在nginx的报错日志里找,logs/error.log,能找到访问此nginxIP
怎样在 Nginx 中配置防盗链
技术笔记
07-21 2211
盗链,用通俗易懂的话来说,就是别人未经您的允许,在他们的网站上直接链接到您网站的资源,让访问他们网站的用户可以直接获取您的资源。比如,您的网站上有一张精美的图片,另一个网站通过这样的方式把您的图片展示在他们的页面上,这就是盗链。盗链的危害可不小,它就像一个吸血鬼,会吸干您的服务器资源和带宽。如果盗链的流量过大,可能会导致您的网站变得缓慢甚至无法访问,就像一辆超载的卡车,再也跑不动了。而且,这也侵犯了您的权益,毕竟这些资源是您花费时间和精力准备的。
NginxNginx实现图片防盗链
后端研发工程师Marion的博客
09-08 2088
32-基本使用-防盗链与http的referer_哔哩哔哩_bilibiliCDN常用的防盗链是什么?有什么作用?_jack_ja的博客-优快云博客_cdn防盗链今天我们来聊聊防盗链机制_lakernote的博客-优快云博客_防盗链机制配置nginx实现防盗链功能_BK_小小关的博客-优快云博客_nginx防盗链配置nginx防盗链教程 nginx图片防盗链详细解说 - shuaixf - 博客园16《Nginx 入门教程》Nginx防盗链配置 - 知乎
精选资源
如何利用nginx通过正则拦截指定url请求详解
01-20
除了拦截请求,Nginx还支持设置防盗链(Referrer Filter)。防盗链可以防止其他网站盗用我们的资源,比如图片、视频等。以下是一个简单的防盗链配置示例: ```nginx location ~* \.(gif|jpg|png|swf|flv)$ { valid...
配置Nginx防盗链,实现网站资源防盗
TL_ATC的博客
03-24 8585
文章目录前言一、配置防盗链之前的效果二、配置Nginx防盗链1. 修改nginx配置2、修改后效果三、说明总结 前言   在项目中,经常会有不想让本站点的静态资源被他人盗取访问的需求。比如网站中的图片,前端加载的一些js文件等。此时,就可以配置nginx防盗链来实现网站资源的防盗。   当然,此方案的前提是前端资源的访问是经过nginx的。 一、配置防盗链之前的效果 1、访问站点,是可以正常加载背景图的,也可以正常加载js 2、将图片和js地址拷贝到浏览器中访问,也是可以正常访问的 xxx 二、
nginx配置拦截访问域名
sunsijia21983的博客
08-11 3224
blocked:请求头Referer字段不为空(即存在Referer),但是值被代理或者防火墙删除了,这些值不以“http://”或“https://”开头,通俗点说就是允许“http://”或"https//"以外的请求。指定合法的来源'referer', 他决定了内置变量$invalid_referer的值,如果referer头部包含在这个合法网址里面,这个变量被设置为0,否则设置为1. 需要注意的是:这里并不区分大小写的.none:请求头缺少Referer字段,即空Referer
nginx配置拦截指定域名
sunsijia21983的博客
01-08 464
【代码】nginx配置拦截指定域名
Nginx设置图片防盗链白名单与黑名单)
独行侠梦的博客
02-25 3324
点击蓝字关注这个神奇的公众号~某些时候可能您会发现,别人网站直接将您的网站图片拿过去使用,导致额外消耗服务器流量和带宽,如果本身服务器带宽和流量就比较小,被人盗链后势必会造成一定影响。这篇...
nginx 配置ssl配置文件内容
知识的灯塔,梦想的航船
11-19 3078
server { listen 443 ssl; server_name www.langmanezhuang.com; # 改为绑定证书的域名 # ssl 配置 #ssl on; ssl_certificate 1_langmanezhuang.com_bundle.crt; # 改为自己申请得到的 crt 文件...
Nginx 阻止非POST 请求访问
kuang1144的博客
02-03 2219
测试配置环境: Debian 9使用Nginx 版本:Tengine 2.3.2 某些特殊情况下,需要Nginx 对二级目录限制非特定类似不允许访问: 比如域名目录:https://adc123.net/rate/paxful 访问时,只允许接口POST 方式被请求到,其它一切类似都返回403,或者301 重定向跳回到域名根目录; 操作方式有两种:第一种: 返回直接拒绝或者return 一个301 以下是单独拦截POST 以后的请求 location /rate/paxful { if
通过配置 Nginx 抵御不合法请求
weixin_33939843的博客
06-06 287
使用此模块主要用来限制每秒请求数量,至于依据什么条件限制是由我们来自定义的。 官方文档 Module ngx_http_limit_req_module 中文翻译的 nginx限制请求数ngx_http_limit_req_module模块 文档讲的很详细了,大致说下: limit_req_zone $variable zone=name:size ra...
NginxNginx配置加固之阻止恶意域名访问
cnskylee的博客
05-08 4789
【问题背景】 一般一个大型的互联网站点都会有一个域名(比如:www.aaa.com、www.bbb.com.cn),这个域名在申请的时候,必须向工信部备案。此外,这个域名会绑定一个或者多个公网IP(国内一般需要向三大运营商购买)。这个公网IP一般用的是80端口,并且公网的IP和80端口,会映射到内网的一个IP地址(负载的IP+端口),然后负载后面会挂N个内网应用服务器的地址。这样公网的用户就可以通过这个域名来访问内网的应用了。 比如,我们日常使用的微软的搜索引擎(cn.bing.com)
nginx限制链接访问,设置白名单实现
qie1127的博客
09-23 1186
nginx设置白名单
nginx匹配/开白名单
09-27
<think>首先,用户的问题是:“我想查找nginx进行匹配并设置白名单的方法 请问nginx如何进行匹配并设置白名单”。这基于之前的引用和系统指令。 系统指令包括: - 所有行内数学表达式使用$...$格式。 - 独立公式使用$$...$$格式。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 回答中引用的段落末尾自然地添加引用标识,例如[^1]。 用户提供了几个引用: - [1]: Nginx白名单设置,通过设置域名白名单解决Host注入问题。 - [2]: nginx域名访问的白名单配置梳理,涉及iptables白名单限制。 - [3]: NGINX 域名IP白名单拦截Referer防盗链设置。 - [4]: nginx设置IP白名单/黑名单,涉及allow/deny指令顺序。 - [5]: 用自带的Nginx为gitlab做白名单(访问控制)。 用户说这些引用仅供参考,我需要参考用户上一次的问题和我的回答。但在这个对话中,这是第一条消息,用户直接提供了引用和问题。所以,我应该基于这些引用回答问题。 用户的问题是:“nginx如何进行匹配并设置白名单”。我需要解释Nginx中如何设置白名单,包括匹配规则。 关键点从引用中提取: - 从[1]:通过server_name设置域名白名单,使用default_server返回444拒绝无效域名。 - 从[2]:使用iptables限制IP访问端口,但这不直接在Nginx中。 - 从[3]:通过http_Host来源判断主机名正则匹配。 - 从[4]:使用allow和deny指令设置IP白名单,顺序很重要。 - 从[5]:在location块中使用deny和allow设置IP访问控制。 核心是Nginx设置方法: - IP白名单:使用allow和deny指令在server或location块中。 - 域名白名单:使用server_name匹配特定域名,并使用default_server处理无效请求。 - 匹配:可以使用正则表达式在server_name或基于Host头。 我的回答需要结构清晰: 1. **介绍**:简要解释Nginx白名单的概念。 2. **方法**:分点说明如何设置IP白名单域名白名单。 - IP白名单:使用allow/deny。 - 域名白名单:使用server_name和default_server。 - 其他方法:如基于Host头匹配。 3. **示例**:提供配置示例代码块。 4. **注意事项**:如指令顺序的重要性。 5. **相关问题**:生成相关问题用于进一步学习。 确保使用中文。 生成相关问题:基于主题,如优化配置、常见问题等。 引用标识:在回答中引用相关部分时添加[^1]等。 例如: - 参考引用[1],域名白名单设置... - 参考引用[4],allow/deny顺序... 现在,整理回答结构: - **标题**:Nginx如何设置白名单 - **正文**: 1. 什么是白名单?为什么需要? 2. IP白名单设置方法。 3. 域名白名单设置方法。 4. 其他匹配方法(如基于Host)。 5. 注意事项。 - **代码示例**:展示配置。 - **相关问题** 代码块格式:像指令中示例,使用```包围。 数学表达式:用户问题没有数学相关内容,所以可能不需要。但如果涉及,确保使用$...$。例如,没有数学,所以忽略。 回答真实可靠:基于标准Nginx配置。 最终回答草稿: - 介绍:nginx可以通过多种方式设置白名单,如允许特定IP域名访问。 - IP白名单:在server或location块中使用allow和deny指令。顺序很重要:先允许白名单IP,再拒绝所有。[^4] - 域名白名单:通过server_name列出允许的域名,并定义一个default_server返回错误码如444来拒绝其他域名。[^1] - 基于Host匹配:在location块中检查$http_host变量,使用正则匹配允许的域名。[^3] - 示例配置:展示IP白名单域名白名单的代码。 - 相关问题:1. 如何优化nginx白名单配置?2. 白名单设置中的常见错误?3. nginx白名单在实际应用中的例子? </think>### Nginx如何匹配并设置白名单方法 在Nginx中,设置白名单是一种常见的安全措施,用于仅允许特定IP地址、域名或请求访问服务,从而防止未授权访问(如Host注入攻击)。白名单设置主要通过配置文件的`server`或`location`块实现,核心方法是基于匹配规则使用指令如`allow`、`deny`、`server_name`或正则表达式。以下是详细步骤和方法,结合引用中的最佳实践。 #### 1. **IP白名单设置(基于IP地址匹配)** - **方法**:在`server`或`location`块中使用`allow`和`deny`指令,顺序至关重要——必须先允许白名单IP,再拒绝其他所有流量。 - **匹配规则**:Nginx按指令顺序从上到下执行匹配。如果允许规则匹配成功,则停止后续检查;否则拒绝。 - **示例配置**: ```nginx server { listen 80; location / { # 允许特定IP或网段 allow 192.168.1.0/24; # 允许192.168.1.x网段 allow 10.0.0.5; # 允许单个IP deny all; # 拒绝其他所有IP root /var/www/html; index index.html; } } ``` - **注意事项**:指令顺序错误会导致白名单失效。例如,如果先`deny all`再`allow`,则所有请求都会被拒绝[^4]。 - **引用说明**:此方法通过iptables端口限制虽可行,但直接在Nginx配置更灵活(如引用[2]所述),避免全局限制[^2]。 #### 2. **域名白名单设置(基于域名匹配)** - **方法**:使用`server_name`指令定义允许的域名,并添加`default_server`处理无效域名(如返回444错误)。 - **匹配规则**:Nginx根据请求的Host头匹配`server_name`。未匹配的域名由`default_server`处理。 - **示例配置**: ```nginx http { server_tokens off; # 隐藏版本号,提升安全性 # 允许的域名 server { listen 80; server_name www.example.com example.com; # 白名单域名 root /var/www/example; ... # 其他配置 } # 默认服务器拒绝无效域名 server { listen 80 default_server; server_name _; # 通配符匹配所有未定义域名 return 444; # 返回444错误,断开连接 } } ``` - **注意事项**:`default_server`确保非法域名无法访问,有效解决Host注入问题[^1]。 - **高级匹配**:使用正则表达式基于`$http_host`变量匹配Host头(如引用[3]所述)。例如: ```nginx location / { if ($http_host !~* (www\.allowed-domain\.com|allowed\.com)) { return 403; # 拒绝非白名单域名 } ... # 其他配置 } ``` #### 3. **其他匹配方法** - **基于Referer防盗链**:在`location`块中检查`$http_referer`,允许特定来源请求。 ```nginx location ~* \.(jpg|png)$ { valid_referers none blocked www.trusted.com *.trusted-domain.net; if ($invalid_referer) { return 403; # 拒绝非法Referer } } ``` - **引用说明**:此方法结合Host匹配可增强安全(如引用[3]所示)[^3]。 - **组合IP域名白名单**:在同一个配置中整合两者,例如: ```nginx server { listen 80; server_name www.example.com; location / { allow 192.168.1.100; # 仅允许特定IP访问该域名 deny all; ... # 其他配置 } } ``` #### 注意事项 - **顺序优先规则**:Nginx配置中,指令顺序决定匹配优先级(如`allow`必须在`deny`前)。测试时使用`nginx -t`验证配置。 - **性能影响**:正则匹配(如`if`语句)可能降低性能,建议在核心路径避免使用。 - **安全强化**:隐藏版本号(`server_tokens off;`)和结合防火墙(如iptables)可提供多层防护,但Nginx级配置更精确[^1][^2]。 - **动态更新**:IP域名变更时需reload配置(`nginx -s reload`),对于频繁变化场景,可集成Lua脚本或第三方模块。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值