Nginx优化（二）

hyzqb

、根据http referer实现防盗链在HTTP协议中，有个表头字段叫referer，使用URL格式来表示从哪里来的链接到当前网页的资源，通过referer可以检测目标访问的来源网页，　　如果是资源文件，可以跟踪到显示它的网页地址，一旦检测出来源不是本站，马上进行阻止或返回指定的页面HTTP Reffer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器是从哪个页面链接过来的，
　　服务器借此可以获得一些信息用于处理。Apache、Nginx、Lighttpd三者都支持根据此指令实现防盗链，目前referer是网站图片、附件、html等最常用的防盗链手段。
　　提示：nginx模块ngx_http_referer_module通常用于阻挡来源非法的域名请求.我们应该牢记,伪装Referer头部是非常简单的事情，所以这个模块只能用于阻止大部分非法请求.我们应该记住，有些合法的请求是不会带referer来源头部的,所以有时候不要拒绝来源头部（referer）为空的请求.
　　location ~* \.(gif|jpg|png|bmp)$ {
　　valid_referers none blocked *.ttlsa.com server_names ~\.google\. ~\.baidu\.;
　　if ($invalid_referer) {
　　return 403;
　　#rewrite ^/ http://www.ttlsa.com/403.jpg;
　　}
　　}
　　以上所有来至ttlsa.com和域名中包含google和baidu的站点都可以访问到当前站点的图片,如果来源域名不在这个列表中，那么$invalid_referer等于1，在if语句中返回一个403给用户，这样用户便会看到一个403的页面,如果使用下面的rewrite，那么盗链的图片都会显示403.jpg。如果用户直接在浏览器输入你的图片地址,那么图片显示正常，因为它符合none这个规则.
　　2、根据cookie防盗链
　　通过ActiveX显示的内容不向服务器提供Referer Header（例如，Flash，WindowsMedia视频等）
　　ActiveX插件不传递Referer，但是却忠实的传递Cookie。于是在显示ActiveX的页面的 标签内嵌入一段代码：
　　 document.cookie=”Cache=vod;domain=domain.com;path=/”;
　　这段代码用 javascript 设置了一段 Cookie: Cache=vod
　　然后通过各种ACL来判断这个Cookie的存在以及验证其值的操作了
　　3、通过加密变换访问路径实现防盗链
　　lighttpd有类似的插件 mod_secdownload
　　4、Nginx web服务通过referer实现防盗链
　　a、利用referer并且针对扩展名rewrite重定向
　　location ~* \.(wma|wmv|asf|mp3|mmf|zip|rar|jpg|gif|png|swf|flv)$ {
　　valid_referers none blocked *.lvnian.com lvnian.com;
　　if ($invalid_referer)
　　{
　　#rewrite ^/ http://www.765h.com/error.html;
　　return  403;
　　}
　　}
　　提示:根据自己公司实际业务进行域名设置（外链合作）
　　b、利用referer并且针对站点目录过滤返回错误代码
　　location /img/ {
　　root /data/img/;
　　valid_referers none blocked *.lvnian.com lvnian.com;
　　if ($invalid_referer) {
　　rewrite ^/ http://www.lvnian.com/error.gif;
　　#return 403;
　　}
　　}
　　5、Nginx的HttpAccessKeyModule实现防盗链
　　6、产品设计上解决防盗链，为网站上传图片增加水印