nginx 配置系列（九）nginx 中的防盗链

ngx_http_referer_module 模块

ngx_http_referer_module 模块是防盗链模块，该模块允许拦截“Referer”请求头中含有非法值的请求，阻止它们访问站点。 需要注意的是伪造一个有效的“Referer”请求头是相当容易的， 因此这个模块的预期目的不在于彻底地阻止这些非法请求，而是为了阻止由正常浏览器发出的大规模此类请求。 还有一点需要注意，即使正常浏览器发送的合法请求，也可能没有“Referer”请求头。

ngx_http_referer_module 模块可根据 header 中的 referer 信息屏蔽某些请求对网站或应用的访问，可以起到禁止直接访问网站 static files 的作用（防盗链或保护文件）。尽管 nginx 官方反复强调伪造一个 referer 并非难事，但还是提高了技术门槛，可以限制多数普通用户。

防盗链：本网站的图片、CSS 等资源只有本站点可以访问，不允许其它站点打开或被其它站点进行引用等。

nginx 防盗链实现

语法：valid_referers none | blocked | server_names | string ...;

默认值：—

上下文：server、 location

“Referer”请求头中的值为指定值时，内嵌变量 $invalid_referer 被设置为空字符串， 否则这个变量会被置成“1”。查找匹配时不区分大小写。

valid_referers：表示可信的 referer，此处可信 referer 将会使内置变量$invali{d}_{r}eferer的值为空字符串，不可信的referer将会使内置变量$invalid_referer 的值为 1，则执行 if 条件并返回相关限制结果。

该指令的参数可以为下面的内容：

none：允许缺少“Referer”请求头

blocked：“Referer” 请求头存在，但是它的值被防火墙或者代理服务器删除； 这些值都不以“http://” 或者 “https://”字符串作为开头

server_names：“Referer” 请求头包含某个虚拟主机名

正则表达式：必须以“~”符号作为开头。 需要注意的是表达式会从“http://”或者“https://”之后的文本开始匹配

防盗链案例：

防止别人直接从你网站引用图片等链接，消耗了你的资源和网络流量，那么我们的 就可以设置防盗链策略下面的方法是直接给予 403 等之类相关的错误提示，或者是显示一个图片。

location ~* ^.+\.(jpg|gif|png|swf|flv|wma|wmv|asf|mp3|mmf|zip|rar)$ {``  ``valid_referers none blocked www.css3er.com css3er.com;``    ``if` `($invalid_referer) {``      ``#return 302 https://nginx.css3er.com/img/nolink.jpg;``    ``return` `403;``      ``break``;``  ``}