nginx 配置系列(九)nginx 中的防盗链
ngx_http_referer_module 模块
ngx_http_referer_module 模块是防盗链模块,该模块允许拦截“Referer”请求头中含有非法值的请求,阻止它们访问站点。 需要注意的是伪造一个有效的“Referer”请求头是相当容易的, 因此这个模块的预期目的不在于彻底地阻止这些非法请求,而是为了阻止由正常浏览器发出的大规模此类请求。 还有一点需要注意,即使正常浏览器发送的合法请求,也可能没有“Referer”请求头。
ngx_http_referer_module 模块可根据 header 中的 referer 信息屏蔽某些请求对网站或应用的访问,可以起到禁止直接访问网站 static files 的作用(防盗链或保护文件)。尽管 nginx 官方反复强调伪造一个 referer 并非难事,但还是提高了技术门槛,可以限制多数普通用户。
防盗链:本网站的图片、CSS 等资源只有本站点可以访问,不允许其它站点打开或被其它站点进行引用等。
nginx 防盗链实现
语法:valid_referers none | blocked | server_names | string ...;
默认值:—
上下文:server、 location
“Referer”请求头中的值为指定值时,内嵌变量 $invalid_referer 被设置为空字符串, 否则这个变量会被置成“1”。查找匹配时不区分大小写。
valid_referers:表示可信的 referer,此处可信 referer 将会使内置变量invalid_referer 的值为 1,则执行 if 条件并返回相关限制结果。
该指令的参数可以为下面的内容:
none:允许缺少“Referer”请求头
blocked:“Referer” 请求头存在,但是它的值被防火墙或者代理服务器删除; 这些值都不以“http://” 或者 “https://”字符串作为开头
server_names:“Referer” 请求头包含某个虚拟主机名
正则表达式:必须以“~”符号作为开头。 需要注意的是表达式会从“http://”或者“https://”之后的文本开始匹配
防盗链案例:
防止别人直接从你网站引用图片等链接,消耗了你的资源和网络流量,那么我们的 就可以设置防盗链策略下面的方法是直接给予 403 等之类相关的错误提示,或者是显示一个图片。
版权声明: 本文为 InfoQ 作者【乌龟哥哥】的原创文章。
原文链接:【http://xie.infoq.cn/article/68168c55c9c5083a0374dad3e】。文章转载请联系作者。
评论