nginx复习007 重写重定向+防盗链+https配置

最新推荐文章于 2024-06-04 17:35:38 发布
最新推荐文章于 2024-06-04 17:35:38 发布
阅读量767 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/eebaicai/article/details/81288497
本文详细介绍了网站结构与域名变更时遇到的问题及解决方案,重点阐述了URL重写与重定向的功能与实现方式,包括nginx的rewrite模块使用、语法及其在防盗链、HTTPS配置等方面的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

—–重写与重定向

1> 问题的提出
修改了网站的结构与域名 会出现的问题
a.可能会造成网站中的链接或在其他网站中的外链失效
b.影响该网站在搜索引擎的收录量和排名
解决办法:
通常采用url重写与重定向 在增强网站专业化的同时,为用户提供更加舒适的使用体验

2> nginx提供的rewrite模块
rewrite指令 + nginx提供的全局变量/自定义的变量 + 结合正则表达式 + 标识(last break redirect permanent)

3> 什么是重写
url地址不变,将其他地址中的内容显示到当前请求的url地址中
比如:http://www.baicai.com/test.php(当前请求) 重写到 http://www.baicai.com/index.html(其他地址)
4> 什么是重定向
请求的url地址,按照设置的规则显示,请求内容不变
比如:http://www.baicai.com/img-2.jpg 重定向到 http://www.baicai.com/img/2.jpg

–rewrite重写的语法
rewrite regex replacement [flag]
符合rewrite编写的regex正则语法规则,就执行相应的replacement替换算法
可选参数flag指定进一步处理的标识:
last 终止rewrite 继续匹配其他规则
break 终止rewrite 不再继续匹配

–rewrite重写的实现

server { 
    listen 80; 
    server_name test.ng.test; 
    index index.html index.htm;
    root html;
    if ( !-e $request_filename ) {
        rewrite "^/.*" /default/default.html break;
    }
}

!-e 请求的文件或目录不存在的时候就为真
–if详情看手册
http://nginx.org/en/docs/

–break和last标识符的区别
last: 重写后停止当前这个请求,并根据rewrite匹配的规则重新发起一个请求。新请求又从第一阶段开始执行
break:相对last,break并不会重新发起一个请求,跳出rewrite后,并执行本请求后续的代码

server {
    listen 80; 
    server_name test.ng.test; 
    root html;
    location /break/ {
        rewrite ^/break/(.*) /test/$1 break;
        echo "break page";
    }
    location /last/ {
        rewrite ^/last/(.*) /test/$1 last;
        echo "last page";
    }
    location /test/ {
        echo "test page";
    }
}

更难的挑战
https://blog.youkuaiyun.com/shermy/article/details/6367656

–rewrite重定向语法
rewrite regex replacement [flag]
符合rewrite编写的regex正则语法规则,就执行相应的replacement替换算法
可选参数flag指定进一步处理的标识:
redirect 返回的http状态码是302(临时重定向),使得搜索引擎在抓取新的内容的同时保留旧的网址
permanent 返回的http状态码是301(永久重定向),使得搜索引擎在抓取新的内容的同时也将旧的地址永久替换为重定向的网址

从实现功能的角度上去看,redirect 和 permanent 是一样的。不存在好坏,也不存在什么性能上的问题, 但是对seo会有影响,这里要根据需要做出选择

–rewrite重定向实现

server {
    listen 80; 
    server_name test.ng.test; 
    root html;
    set $name $1;
    rewrite ^/img-([0-9]+).jpg$ /img/$1.jpg permanent; 
}

—–防盗链配置

–什么是盗链
盗链是指有一些不良网站,为了在不增加成本的前提下扩充自己的站点的内容,直接盗用其他网站的资源链接,而大部分用户又不会发现

–盗链的危害
一方面损害原网站的合法利益
另一方面又加重原网站服务器的流量负担

–常见的盗链
盗取图片 盗取下载地址等

–防盗链的方法
1> 图片防盗链 最简单的防护手段就是判断referer的值
2> 下载防盗链 ng_http_secure_link_module模块

–图片防盗链配置
涉及的指令 valid_referers

location ~* \.(gif|jpg|png|swf|flv)$ {
    valid_referers  www.ng.test ng.test;
    if ($invalid_referer) {
        return 403;
     }
}

–需要注意的是,不是所有的浏览器都会发送referer请求头,并且referer的值还可以被客户端随意修改,也就是说,referer是可以被伪造的,因此,上述讲解的方式只能用于防范普通用户对图片资源的盗用

–下载防盗链的配置
使用ng_http_secure_link_module模块
–对于图片之外的下载资源,如果不需要考虑资源链接的长期有效性,可以使用nginx中ng_http_secure_link_module模块提供的secure_link和secure_link_md5指令来实现下载地址的加密和时效性
1>重新编译
–with-http_secure_link_module
2>实现原理
首先服务器端根据特定规则对下载地址进行加密,
然后在用户请求下载链接时,验证加密链接是否有效,防止用户伪造下载链接,
同时为了避免加密后的链接被盗链,在加密时添加过期时间,使得下载地址只在一定时间内有效,过期后只能到原网站获取新的地址.

<?php
// 自定义密钥
$secret = 'ng.test'; 
// 下载文件路径
$path = '/down/web/nginx-1.10.1.tar.gz'; 
// 生成过期时间,time()是当前时间,60表示60秒,即从现在到60秒之内不过期
$expire = time()+60;
// 用文件路径、密钥、过期时间生成加密串
$md5 = base64_encode(md5($secret.$path.$expire, true));
$md5 = strtr($md5, '+/', '-_');
$md5 = str_replace('=', '', $md5);
// 生成加密后的下载文件链接
echo '<a href="http://www.ng.test/down/web/nginx-1.10.1.tar.gz?st='.$md5.'&e='.
$expire.'">nginx-1.10.1</a>';
// 输出加密后的下载地址 
echo '<br>http://www.ng.test/down/web/nginx-1.10.1.tar.gz?st='.$md5.'&e='.$expire;
?>
location / {
    secure_link $arg_st,$arg_e;
    secure_link_md5 ng.test$uri$arg_e;
    if ($secure_link = "") { 
        return 403;
    }
    if ($secure_link = "0") { 
        return 403;
    }
}

–同步时间
–密钥要一样

—–配置https

–获取认证证书(专业ca机构颁发 或者 使用openssl开源软件将自己作为ca颁发)
https://linuxstory.org/deploy-lets-encrypt-ssl-certificate-with-certbot/
https://blog.jjonline.cn/linux/221.html
https://zhangge.net/4861.html
https://zhangge.net/4890.html

–颁发认证证书
为服务器生成私钥RSA -> 生成服务器CSR证书的请求文件 -> nginx自己为自己认证

1> 生成服务器的RSA私钥
RSA是https使用的一种算法

mkdir /usr/local/nginx/conf/ssl
cd  /usr/local/nginx/conf/ssl
openssl genrsa -des3 -out server.key 2048

2> 生成服务器的CSR证书请求文件

openssl req -new -key server.key -out server.csr

req 表示证书签发申请
-new 表示新申请
-key 指定私钥
-out 表示生成的csr证书请求文件名称

3> ca机构为服务器认证证书

openssl x509 -req -days 30 -in server.csr -signkey server.key -out server.crt

x509 是自签名证书格式
-days 30 用于设置签发证书的有效期为30天

–nginx配置https网站
添加ssl模块支持 ngx_http_ssl_module模块
开放443端口

server {
    listen 443; 
    server_name www.test.com;
    root html;
    ssl on;
    ssl_certificate      /usr/local/nginx/conf/ssl/server.crt;
    ssl_certificate_key /usr/local/nginx/conf/ssl/server.key;
}

ssl 用于开启nginx对ssl的支持
ssl_certificate 用于指定ca认证后的crt文件路径
ssl_certificate_key 用于指定服务器私钥的路径

白菜喵
关注
LAMP架构之nginx(3):重定向防盗链
weixin_44717560的博客
01-12 847
nginx(3)一、nginx重定向1.防止域名恶意解析到服务器IP2.80重定向443:3.www.westos.org/bbs 重定向bbs.westos.org: 一、nginx重定向 1.防止域名恶意解析到服务器IP 恶意解析 是指有人通过域名A记录直接解析别人IP地址,从而得到一个在访问者眼中完全相同网站,也会造成搜索引擎收录别人的域名。 如果有人想专门消耗你的网站流量,他可能会搞好多域名,解析到你的外网地址上。 所以,防止域名恶意解析到服务器IP,为了安全不想让客户端直接以ip形式访问 解决方案
nginx(三)重写功能 防盗链 方向代理 等
2301_81307988的博客
02-27 1009
return用于完成对请求的处理,并直接向客户端返回响应状态码,比如:可以指定重定向URL(对于特殊重定向状态码,301/302等) 或者是指定提示文本内容(对于特殊状态码403/500等),处于此指令后的所有配置都将不被执行,return可以在server、if 和 location块进行配置。当时last的情况时,curl的时候是403(原本都没建立文件,应该是404,但是last这边是403,它要多次匹配 匹配到最后一个,因此是403)然后在真是服务端 curl一下自己 访问的是自己。
nginx 重写重定向
weixin_43931625的博客
10-15 544
nginx重写重定向
nginx重写重定向
bobozai86的博客
07-18 1031
nginx重写重定向 应用:使用重写或者重定向,避免网站结构或者域名修改后,网站中原有链接失效 ************************ rewrite 命令格式: rewrite old_url new_url [flag] old_url:原有访问路径,使用正则表达式进行匹配 new_url:新的访问路径 flag:参数可选,可设置的值 last:重写,地址栏中url地址不变,匹配后重新发起请求(服务端跳转) break:重写,地址栏中url地址不变,匹配后直接输出.
Nginx(十):Nginx重写重定向
热门推荐
lsxf_xin的专栏
02-26 1万+
概述:    Nginx重写重定向是非常重要的内容。    先占坑,后续完善。
Nginx——重写重定向
吴声子夜歌的博客
06-13 2147
重写重定向 在实际网站运营的过程中,为了能够在修改网站结构或域名后,避免造成网站中的链接或在其他网站中的外链失效,以及提高该网站在搜索引擎的收录量和排名等目的。通常会采用URL重写重定向,在增强网站专业化的同时,为用户提供更加舒适的使用体验。 rewrite模块概述 重写重定向功能是现在大多数Web服务器都支持的一项功能,相对于其他产品而言,Nginx中的rewrite模块提供的功能在配置上更加的灵活自由,可定制性非常的高。它的实现方式也非常的简单,只需要通过rewrite指令根据Nginx提供的全局
nginx rewrite重写规则与防盗链配置方法教程详解
09-30
Nginx中的rewrite模块用于实现复杂的URL重写重定向防盗链功能可以防止他人未经许可非法链接网站内容。本教程将详细介绍Nginx中rewrite重写规则与防盗链配置方法。 ### Nginx rewrite重写规则 在Nginx配置文件中...
nginx-伪静态-重定向-包括域名、目录、文件等配置方法.pdf
04-09
### Nginx 伪静态与重定向配置详解 #### 一、引言 在网站建设和维护过程中,常常会遇到需要更改网页目录结构、重命名网页、改变网页扩展名或者更换网站域名等情况。这些变更如果不加以适当处理,将会导致用户收藏...
nginx优化和重写功能rewrite
cc2022928的博客
06-04 621
return用于完成对请求的处理,并直接向客户端返回响应状态码,比如:可以指定重定向URL(对于特殊重定向状态码,301/302等) 或者是指定提示文本内容(对于特殊状态码403/500等),处于此指令后的所有配置都将不被执行,return可以在server、if 和 location块进行配置。利用nginx的rewrite的指令,可以实现url的重新跳转,rewrtie有四种不同的flag,分别是redirect(临时重定向302)、permanent(永久重定向301)、break和last。
Nginx防盗链.docx
06-19
Nginx防盗链配置详解】 Nginx防盗链(Anti-leech)是一种网络服务器安全策略,用于防止其他网站未经许可直接引用你的服务器上的资源,如图片、视频等。这通常发生在图片分享网站或者流媒体服务中,防止恶意网站...
linux企业运维LAMP架构----3.nginx配置管理(并发优化 负载均衡+反向代理 平滑升级 算法扩展 限流 配置管理 重定向 防盗链
weixin_47665572的博客
09-14 391
前言 nginx相比较与apache最明显的优势是轻量级、高并发,配置也相当于apache更简洁。本节内容将介绍nginx的相关功能配置,包括nginx的并发优化、负载均衡、平滑升级、nginx限流、配置管理(自动索引、缓存配置、日志轮询、禁用不必要日志、站点目录和文件限制、中文乱码解决、限制IP)、nginx重定向防盗链等。 一、nginx的并发优化 ulimit -a #用来显示当前的用户可以打开文件的限制 vim /usr/local/nginx/conf/nginx.conf // wo
nginx重定向防盗链,虚拟主机
ZZL95415的博客
05-16 772
一.Nginx        nginx是一个高性能的http和反向代理服务器,也是一个POP3/SMTP服务器,nginx可以在大多数linux上面编译运行。在高并发连接时,Nginx是Apache服务器不错的替代品。同时nginx也有很多不错的第三方模块(官网:www.nginx.org),nginx配置文件相比于Apache更加的直观简洁,安装和配置都很便捷,Nginx 启动特别容易,并且...
Nginx - 盗链与防盗链重定向
rrrr_ffff的博客
05-27 483
目录1. 盗链1.1 盗链是什么1.2 盗链分类2. 防盗链3. 实验环境4. 模拟盗链4.1 在server2上安装nginx配置操作4.2 server1主机(被盗链主机)4.3 测试5. 模拟防盗链5.1 在server2中5.2 在server1中5.3 测试6. 盗链重定向6.1 server1设置让其重定向6.2 放重定向要看到的图片6.3 客户机做域名解析6.4 测试 1. 盗链 1.1 盗链是什么 盗链是指服务提供商自己不提供服务的内容,通过技术手段绕过其它有利益的最终用户界面(如广
企业部分实战-----nginx重定向+盗链与防盗链
ltsazx的博客
11-17 396
企业部分实战-----nginx重定向+盗链与防盗链nginx重定向的实现1.简单重定向2.80重定向4433.重定向的升级版二、nginx盗链与防盗链三级目录 nginx重定向的实现 1.简单重定向 我们平常访问淘宝的时候都会使用taobao.com,而不是http://www.taobao.com,这就是重定向,当以taobao.com访问的时候定向到http://www.taobao.com。接下来,实现简单的重定向。 (1)修改配置文件,设置虚拟主机,当以www.westos.org访问虚拟主机时,
Linux企业实战-----nginx重定向+盗链与防盗链
zxn_0823的博客
08-13 205
目录 nginx重定向的实现 1.简单重定向 2.80重定向443 3.重定向的升级版 nginx盗链与防盗链 1.盗链的操作:使用server3来盗链 2.防盗链的操作 nginx重定向的实现 1.简单重定向 我们平常访问淘宝的时候都会使用taobao.com,而不是http://www.taobao.com,这就是重定向,当以taobao.com访问的时候定向到http://www.taobao.com。接下来,实现简单的重定向。 (1)修改配置文件,设置虚拟主机,当以www.we
Java架构学习(十六)Http协议&防盗链&使用时间戳解决浏览器缓存&重定向原理
Leeue李月
08-02 1099
Http协议&amp;amp;amp;防盗链&amp;amp;amp;使用时间戳解决浏览器缓存&amp;amp;amp;重定向原理
nginx虚拟主机,https重定向,服务器盗链与防盗链
枝子的博客
07-30 215
1、虚拟主机 [root@server1 conf]# pwd /usr/local/lnmp/nginx/conf [root@server1 conf]# vim nginx.conf http{ ... 121 server{ 122 listen 80; 123 server_name www.westos.org; 124 125 loc...
配置nginx防盗链HTTPS
weixin_33862188的博客
05-20 484
一、配置nginx图片防盗链步骤1:配置盗链网站 1)启动nginx容器,设置端口映射,并进入容器 docker run -d --privileged -p 80:80 nginx /usr/sbin/init 2)在nginx容器中准备两个网站,配置文件截图 server {listen 80;server_name site1.test.com;root /var/www/...
http下载防盗链原理:http协议的字段referer 记录来实现
MarkArch的博客
02-22 1952
防盗链原理:http协议的字段referer 记录来实现 2008-07-15 09:05 防盗链原理:  http标准协议中有专门的字段记录referer  一来可以追溯上一个入站地址是什么  二来对于资源文件,可以跟踪到包含显示他的网页地址是什么。  因此所有防盗链方法都是基于这个Referer字段  网上比较多的2种  一种是使用apache文
nginx防盗链
最新发布
04-03
<think>好的,用户想了解如何配置Nginx实现防盗链的最佳实践。首先,我得回忆一下防盗链的基本原理。防盗链主要是防止其他网站直接链接到自己的资源,比如图片、视频等,这样会消耗自己的带宽。通常的做法是检查HTTP请求头中的Referer字段,判断请求来源是否合法。 接下来,我需要考虑Nginx中如何配置。记得Nginxngx_http_referer_module模块提供了防盗链的功能。配置应该在server或location块中使用valid_referers指令来指定合法的来源。比如,允许空Referer(直接访问)和自家域名。然后通过$invalid_referer变量判断是否无效,如果是,返回403或者重定向。 然后,用户提到最佳实践,可能需要更详细的步骤。比如,如何设置白名单,如何处理静态资源,是否需要使用错误图片替代盗链请求。另外,可能还要考虑使用secure_link模块加强安全性,或者用Lua脚本动态处理,但用户的问题可能更关注基本配置。 还要注意引用中的信息,比如引用[3]提到的动态DNS解析可能和防盗链无关,但引用[4]提到使用Lua实现资源合并,可能防盗链也可以结合Lua做更复杂的逻辑,不过用户可能只需要基础方法。 然后,需要验证配置的正确性。比如,测试不同的Referer情况,确保合法访问通过,非法被拒绝。还要考虑浏览器直接访问(无Referer)的情况,是否需要允许,比如内链图片可能允许空Referer。 另外,可能提到添加rewrite规则来重写盗链请求,比如返回一个错误图片。同时,注意配置缓存和性能影响,确保防盗链不会显著影响服务器性能。 最后,总结步骤,分点说明,确保结构清晰。可能还要提醒用户根据实际需求调整,比如允许某些合作伙伴的域名,或者使用正则表达式匹配多个子域名。</think>### Nginx防盗链配置最佳实践 **1. 基础防盗链配置** 通过`valid_referers`指令验证请求来源,在`server`或`location`块中添加: ```nginx location ~* \.(jpg|jpeg|png|gif|mp4)$ { valid_referers none blocked *.yourdomain.com server_names ~\.google\.; if ($invalid_referer) { return 403; # 或返回替代图片: rewrite ^ /anti-hotlink.jpg; } } ``` * `none`: 允许空Referer(直接访问) * `blocked`: 允许非标准Referer(如防火墙过滤后的请求) * 支持域名/正则表达式白名单[^2] **2. 进阶安全增强** ```nginx location /static/ { # 添加资源访问签名 secure_link $arg_md5,$arg_expires; secure_link_md5 "$secure_link_expires$uri$remote_addr secret"; if ($secure_link = "") { return 403; } if ($secure_link = "0") { return 410; } } ``` 通过时间戳+IP+密钥生成动态签名,实现临时访问链接[^3] **3. 组合防护策略** ```nginx location ~* ^/protected/ { # 第一阶段:基础Referer验证 valid_referers server_names *.trusted.com; # 第二阶段:Lua脚本动态验证 access_by_lua_block { if ngx.var.http_referer == nil then ngx.exit(403) end -- 可查询数据库进行动态验证[^5] } # 第三阶段:设置资源缓存策略 add_header Cache-Control "private"; } ``` **4. 最佳实践要点** - 对静态资源设置`expires`头减少盗链价值 - 使用`map`指令创建多级防盗规则: ```nginx map $http_referer $bad_referer { hostnames; default 0; *.spammer.com 1; ~.xxx. 1; } ``` - 重要资源建议开启HTTPS+防盗链双重防护 - 定期分析日志优化白名单: ```bash awk '{print $11}' access.log | grep -v "-" | sort | uniq -c | sort -nr ``` **5. 测试验证方法** ```bash # 模拟合法访问 curl -I -H "Referer: https://www.yourdomain.com" http://cdn.example.com/image.jpg # 模拟非法访问 curl -I -H "Referer: https://www.pirate.com" http://cdn.example.com/image.jpg ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值