阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

利用Nginx“ngx_http_referer_module”模块设置防盗链

253次阅读
没有评论

共计 3240 个字符,预计需要花费 9 分钟才能阅读完成。

ngx_http_referer_module 模块允许拦截“Referer”请求头中含有非法值的请求,阻止它们访问站点。需要注意的是伪造一个有效的“Referer”请求头是相当容易的,因此这个模块的预期目的不在于彻底地阻止这些非法请求,而是为了阻止由正常浏览器发出的大规模此类请求。还有一点需要注意,即使正常浏览器发送的合法请求,也可能没有“Referer”请求头。

语法:  valid_referers none | blocked | server_names | string …;

“Referer”请求头为指定值时,内嵌变量 $invalid_referer 被设置为空字符串,否则这个变量会被置成“1”。查找匹配时不区分大小写。

该指令的参数可以为下面的内容:

none:缺少“Referer”请求头;

blocked:“Referer”请求头存在,但是它的值被防火墙或者代理服务器删除;这些值都不以“http://”或者“https://”字符串作为开头;
 
server_names:“Referer”请求头包含某个虚拟主机名;

string …:任意字符串定义一个服务器名和可选的 URI 前缀。服务器名允许在开头或结尾使用“*”符号。当 nginx 检查时,“Referer”请求头里的服务器端口将被忽略。

正则表达式:必须以“~”符号作为开头。需要注意的是表达式会从“http://”或者“https://”之后的文本开始匹配。

参数详解:

none:表示 referer 为空,比如我们直接在浏览器打开一个网站或者图片时。
当有该选项时,虽然做了防盗链,但是在浏览器直接输入地址,还是可以看到图片或者直接下载文件,如果要防止这种方法下载,去掉 none 选项就 OK 了。

blocked:这个不大好理解,上机做了个实验:
nginx.confg 里的配置如下
location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
    valid_referers blocked www.a.com;
    if ($invalid_referer) {
        return 403;
    }
}

用 curl 进行测试:

[root@www ~]# curl -e ‘http://www.a.com’ localhost/static/image/common/logo.png -I
HTTP/1.1 200 OK
Server: nginx/1.8.1
Date: Thu, 29 Dec 2016 02:06:17 GMT
Content-Type: image/png
Content-Length: 4425
Last-Modified: Tue, 31 May 2016 03:08:36 GMT
Connection: keep-alive
ETag: “574d0034-1149”
Accept-Ranges: bytes

referer 为 http://www.a.com 时返回 200,请求成功,继续:

[root@www ~]# curl -e ‘http://www.b.com’ localhost/static/image/common/logo.png -I
HTTP/1.1 403 Forbidden
Server: nginx/1.8.1
Date: Thu, 29 Dec 2016 02:06:39 GMT
Content-Type: text/html
Content-Length: 168
Connection: keep-alive

referer 设为 http://www.a.com 返回 403 被拒绝了,继续:

[root@www ~]# curl -e ‘www.b.com’ localhost/static/image/common/logo.png -I
HTTP/1.1 200 OK
Server: nginx/1.8.1
Date: Thu, 29 Dec 2016 02:06:47 GMT
Content-Type: image/png
Content-Length: 4425
Last-Modified: Tue, 31 May 2016 03:08:36 GMT
Connection: keep-alive
ETag: “574d0034-1149”
Accept-Ranges: bytes

去掉 ”http://”,把 referer 设为 www.b.com,状态码返回 200,说明服务器已成功处理了请求

通过测试,我的理解是,因为某些防火墙或者代理服务器会删除 Referer 的值,所以无法跟据 Referer 的值来进行拦截,只要不是以“http://”或者“https://”字符串作为开头的 Referer 都不会被拒绝,不知道这个观点对不对。

server_names:指在 nginx 配置文件中由 server_name 指令设置的虚拟主机名;
例如,对除 www.a.com,www.b.com 外的网站进行防盗链,server_names 表示 www.a.com,www.b.com 两个网站:
12345678910111213    server {
        listen 80;
        server_name www.a.com www.b.com;
        root  /data/www;
        index  index.html index.htm;
        location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
        valid_referers server_names;
            if ($invalid_referer) {
                return 403;
                #rewrite ^/ http://www.a.com/nophoto.gif;
            }
        }
    }

 

string …:任意字符串可以用 *.example.com,www.example.* 等来表示,例如:
    valid_referers none blocked *.example.com;
        if ($invalid_referer) {
            return 403;
        }

CentOS 7.2 下编译安装 PHP7.0.10+MySQL5.7.14+Nginx1.10.1  http://www.linuxidc.com/Linux/2016-09/134804.htm

搭建基于 Linux6.3+Nginx1.2+PHP5+MySQL5.5 的 Web 服务器全过程 http://www.linuxidc.com/Linux/2013-09/89692.htm

CentOS 6.3 下 Nginx 性能调优 http://www.linuxidc.com/Linux/2013-09/89656.htm

CentOS 6.3 下配置 Nginx 加载 ngx_pagespeed 模块 http://www.linuxidc.com/Linux/2013-09/89657.htm

CentOS 6.4 安装配置 Nginx+Pcre+php-fpm http://www.linuxidc.com/Linux/2013-08/88984.htm

Nginx 安装配置使用详细笔记 http://www.linuxidc.com/Linux/2014-07/104499.htm

Nginx 日志过滤 使用 ngx_log_if 不记录特定日志 http://www.linuxidc.com/Linux/2014-07/104686.htm

Nginx 的 500,502,504 错误解决方法 http://www.linuxidc.com/Linux/2015-03/115507.htm

CentOS 7 编译安装 Nginx1.10.2 脚本启动失败解决思路 http://www.linuxidc.com/Linux/2017-01/139794.htm

Nginx 的详细介绍 :请点这里
Nginx 的下载地址 :请点这里

本文永久更新链接地址 :http://www.linuxidc.com/Linux/2017-01/139966.htm

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2022-01-21发表,共计3240字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中