NGINX图片防盗链原理与配置

本文详细介绍了防盗链的基本原理,即通过HTTP标准协议中的Referer字段追踪请求来源,防止资源被非法引用。并提供了具体的NGINX配置示例,展示了如何限制特定域名访问图片资源,有效保护网站资源不被盗用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

防盗链原理: 

http标准协议中有专门的字段记录referer

1、他可以追溯到请求时从哪个网站链接过来的。

2、来对于资源文件,可以跟踪到包含显示他的网页地址是什么。

因此所有防盗链方法都是基于这个Referer字段
 

NGINX 防盗链配置

location ~* \.(gif|jpg|png|bmp)$ {

    valid_referers none blocked *.alijy.com server_names ~\.google\. ~\.baidu\.;

    if ($invalid_referer) {

        return 403;

        #rewrite ^/ http://www.alijy.com/403.jpg;

    }

}

以上所有来至alijy.com和域名中包含google和baidu的站点都可以访问到当前站点的图片,如果来源域名不在这个列表中,那么$invalid_referer等于1,在if语句中返回一个403给用户,这样用户便会看到一个403的页面,如果使用下面的rewrite,那么盗链的图片都会显示403.jpg。如果用户直接在浏览器输入你的图片地址,那么图片显示正常,因为它符合none这个规则.
 

### 如何配置 Nginx 实现防盗链 #### 一、理解防盗链概念 防盗链是一种保护资源不被其他站点非法使用的机制。通过验证请求来源的有效性来阻止部网站直接访问受保护的内容。 #### 二、基本原理说明 当客户端浏览器加载页面上的图片或其他静态文件时,会向服务器发送HTTP GET 请求获取这些资源。此时可以在 Web Server (如Nginx) 上设置规则检查 Referer 字段中的 URL 是否合法,如果不匹配则拒绝提供该资源[^2]。 #### 三、具体操作指南 ##### 修改 Host 文件以便于本地测试环境搭建 为了模拟真实的网络情况并方便调试,在 Windows 系统下可以通过编辑 `C:\Windows\System32\drivers\etc` 目录下的 hosts 文件来进行域名解析映射。例如: ```plaintext 20.0.0.25 www.TX.top # 源主机 20.0.0.24 www.HH.top # 盗主机 ``` 注意保存修改后的文件可能需要管理员权限,并且建议先备份原始版本以防出现问题[^1]。 ##### 编辑 Nginx 配置文件添加防盗链规则 进入 Nginx 安装目录找到 conf/nginx.conf 或者 site-available/default 文件(取决于操作系统),然后按照以下方式定义 location 块内的指令: ```nginx location ~* \.(gif|jpg|png)$ { valid_referers none blocked server_names *.TX.top; if ($invalid_referer) { return 403; } } ``` 这段代码表示对于所有以 .gif, .jpg 和 .png 结尾的文件只允许来自指定域名为*.TX.top 的请求访问;而对于不符合条件的情况返回 HTTP状态码403 Forbidden响应给用户代理程序[^3]。 完成上述更改之后记得重启 Nginx 使新策略生效: ```bash sudo service nginx restart ``` #### 四、高级应用案例分享 某些场景下除了简单地判断 referer 头部还可以采用更复杂的手段比如基于时间戳加密签名等方式构建动态接从而进一步增强安全性。这里给出一个例子用于生成带参数的时间敏感型下载地址[^4]: ```python import hashlib from datetime import timedelta,datetime def generate_signed_url(filename): expires = int((datetime.now() + timedelta(days=7)).timestamp()) sign_str = f"{filename}{expires}your_secret_key" md5_sign = hashlib.md5(sign_str.encode()).hexdigest() signed_url = f"http://example.com/path/to/{filename}?md5={md5_sign}&expires={expires}" return signed_url ``` 此函数可以根据传入的目标文件名创建有效期为一周的安全下载接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值