nginx做防盗链

文章目录

有两种方式做防盗链,第一种是直接返回一个403禁止访问,第二种是返回一张禁止访问的图片,
配置如下:

location中的rewirte:
不写last和break - 那么流程就是依次执行这些rewrite

  1. rewrite break - url重写后,直接使用当前资源,不再执行location里余下的语句,完成本次请求,地址栏url不变
  2. rewrite last - url重写后,马上发起一个新的请求,再次进入server块,重试location匹配,超过10次匹配不到报500错误,地址栏url不变
  3. rewrite redirect – 返回302临时重定向,地址栏显示重定向后的url,爬虫不会更新url(因为是临时)
  4. rewrite permanent – 返回301永久重定向, 地址栏显示重定向后的url,爬虫更新url

#user  nobody;
worker_processes  1;

#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       mime.types;
    default_type  application/octet-stream;

    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';

    #access_log  logs/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;

    #gzip  on;

    server {
      listen 80;
      server_name jenkins.bb.cc;
      location / {
         proxy_set_header        Host $host:$server_port;
         proxy_set_header        X-Real-IP $remote_addr;
         proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;
         proxy_set_header        X-Forwarded-Proto $scheme;
 
         # Fix the "It appears that your reverse proxy set up is broken" error.
         #proxy_pass          http://127.0.0.1:9792;
         proxy_pass          http://127.0.0.1:9792;
         proxy_read_timeout  90;
 
         #proxy_redirect      http://127.0.0.1:9792 https://jenkins.qinhej.top;
  
         #Required for new HTTP-based CLI
         proxy_http_version 1.1;
         proxy_request_buffering off;	
      }
    }


    server {
        listen       80;
        server_name  11.11.11.11 nginx.bb.cc;
        charset utf-8;

        #access_log  logs/host.access.log  main;

        location / {
            root   html;
            index  index.html index.htm;
        }

	location ~* \.(gif|jpg|png|swf|flv)$ {
            root   html;
	    valid_referers none blocked *.bb.cc;
	    if ($invalid_referer) {
	     #return 403;
	     rewrite ^/ http://nginx.qinhej.top/403.png;
	    }
        }

	location = /403.png {
           root   html;
           expires 30d;
        }   

        #error_page  404              /404.html;

        # redirect server error pages to the static page /50x.html
        #
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }

        # proxy the PHP scripts to Apache listening on 127.0.0.1:80
        #
        #location ~ \.php$ {
        #    proxy_pass   http://127.0.0.1;
        #}

        # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
        #
        #location ~ \.php$ {
        #    root           html;
        #    fastcgi_pass   127.0.0.1:9000;
        #    fastcgi_index  index.php;
        #    fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name;
        #    include        fastcgi_params;
        #}

        # deny access to .htaccess files, if Apache's document root
        # concurs with nginx's one
        #
        #location ~ /\.ht {
        #    deny  all;
        #}
    }


    # another virtual host using mix of IP-, name-, and port-based configuration
    #
    #server {
    #    listen       8000;
    #    listen       somename:8080;
    #    server_name  somename  alias  another.alias;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}


    # HTTPS server
    #
    #server {
    #    listen       443 ssl;
    #    server_name  localhost;

    #    ssl_certificate      cert.pem;
    #    ssl_certificate_key  cert.key;

    #    ssl_session_cache    shared:SSL:1m;
    #    ssl_session_timeout  5m;

    #    ssl_ciphers  HIGH:!aNULL:!MD5;
    #    ssl_prefer_server_ciphers  on;

    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #}

}

### 如何配置 Nginx 实现防盗链 #### 一、理解防盗链概念 防盗链是一种保护资源不被其他站点非法使用的机制。通过验证请求来源的有效性来阻止外部网站直接访问受保护的内容。 #### 二、基本原理说明 当客户端浏览器加载页面上的图片或其他静态文件时,会向服务器发送HTTP GET 请求获取这些资源。此时可以在 Web Server (如Nginx) 上设置规则检查 Referer 段中的 URL 是否合法,如果不匹配则拒绝提供该资源[^2]。 #### 三、具体操作指南 ##### 修改 Host 文件以便于本地测试环境搭建 为了模拟真实的网络情况并方便调试,在 Windows 系统下可以通过编辑 `C:\Windows\System32\drivers\etc` 目录下的 hosts 文件来进行域名解析映射。例如: ```plaintext 20.0.0.25 www.TX.top # 源主机 20.0.0.24 www.HH.top # 盗链主机 ``` 注意保存修改后的文件可能需要管理员权限,并且建议先备份原始版本以防出现问题[^1]。 ##### 编辑 Nginx 配置文件添加防盗链规则 进入 Nginx 安装目录找到 conf/nginx.conf 或者 site-available/default 文件(取决于操作系统),然后按照以下方式定义 location 块内的指令: ```nginx location ~* \.(gif|jpg|png)$ { valid_referers none blocked server_names *.TX.top; if ($invalid_referer) { return 403; } } ``` 这段代码表示对于所有以 .gif, .jpg 和 .png 结尾的文件只允许来自指定域名为*.TX.top 的请求访问;而对于不符合条件的情况返回 HTTP状态码403 Forbidden响应给用户代理程序[^3]。 完成上述更改之后记得重启 Nginx 使新策略生效: ```bash sudo service nginx restart ``` #### 四、高级应用案例分享 某些场景下除了简单地判断 referer 头部外还可以采用更复杂的手段比如基于时间戳加密签名等方式构建动态链接从而进一步增强安全性。这里给出一个例子用于生成带参数的时间敏感型下载地址[^4]: ```python import hashlib from datetime import timedelta,datetime def generate_signed_url(filename): expires = int((datetime.now() + timedelta(days=7)).timestamp()) sign_str = f"{filename}{expires}your_secret_key" md5_sign = hashlib.md5(sign_str.encode()).hexdigest() signed_url = f"http://example.com/path/to/{filename}?md5={md5_sign}&expires={expires}" return signed_url ``` 此函数可以根据传入的目标文件名创建有效期为一周的安全下载链接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值