nginx配置系列(九)nginx中的防盗链

举报
炒香菇的书呆子 发表于 2022/05/06 22:01:32 2022/05/06
【摘要】 ngx_http_referer_module 模块ngx_http_referer_module模块是防盗链模块,该模块允许拦截“Referer”请求头中含有非法值的请求,阻止它们访问站点。 需要注意的是伪造一个有效的“Referer”请求头是相当容易的, 因此这个模块的预期目的不在于彻底地阻止这些非法请求,而是为了阻止由正常浏览器发出的大规模此类请求。 还有一点需要注意,即使正常浏览器...

ngx_http_referer_module 模块

ngx_http_referer_module模块是防盗链模块,该模块允许拦截“Referer”请求头中含有非法值的请求,阻止它们访问站点。 需要注意的是伪造一个有效的“Referer”请求头是相当容易的, 因此这个模块的预期目的不在于彻底地阻止这些非法请求,而是为了阻止由正常浏览器发出的大规模此类请求。 还有一点需要注意,即使正常浏览器发送的合法请求,也可能没有“Referer”请求头。

ngx_http_referer_module模块可根据header中的referer信息屏蔽某些请求对网站或应用的访问,可以起到禁止直接访问网站static files的作用(防盗链或保护文件)。尽管nginx官方反复强调伪造一个referer并非难事,但还是提高了技术门槛,可以限制多数普通用户。

防盗链:本网站的图片、CSS等资源只有本站点可以访问,不允许其它站点打开或被其它站点进行引用等。

nginx防盗链实现

语法:valid_referers none | blocked | server_names | string …;

默认值:—

上下文:server、 location

“Referer”请求头中的值为指定值时,内嵌变量$invalid_referer被设置为空字符串, 否则这个变量会被置成“1”。查找匹配时不区分大小写。

valid_referers:表示可信的referer,此处可信referer将会使内置变量 i n v a l i d r e f e r e r 的值为空字符串,不可信的 r e f e r e r 将会使内置变量 invalid_referer的值为 空字符串,不可信的referer将会使内置变量 invalid_referer的值为 1,则执行if条件并返回相关限制结果。

该指令的参数可以为下面的内容:

none:允许缺少“Referer”请求头

blocked:“Referer” 请求头存在,但是它的值被防火墙或者代理服务器删除; 这些值都不以“http://” 或者 “https://”字符串作为开头

server_names:“Referer” 请求头包含某个虚拟主机名

正则表达式:必须以“~”符号作为开头。 需要注意的是表达式会从“http://”或者“https://”之后的文本开始匹配

防盗链案例:

防止别人直接从你网站引用图片等链接,消耗了你的资源和网络流量,那么我们的 就可以设置防盗链策略下面的方法是直接给予403等之类相关的错误提示,或者是显示一个图片。

location ~* ^.+\.(jpg|gif|png|swf|flv|wma|wmv|asf|mp3|mmf|zip|rar)$ {``  ``valid_referers none blocked www.css3er.com css3er.com;``    ``if` `($invalid_referer) {``      ``#return 302 https://nginx.css3er.com/img/nolink.jpg;``      ``return` `403;``      ``break``;``  ``}
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。