apache(httpd)|nginx图片防盗链的技巧

lixiaolong

需要解决的问题
简单的说，这里有两种不同的盗用行为：　　
1. 使用HTML标记IMG在自己的网站中引用网站的图片。
　　
2. 从网站上下载图片，然后放在自己的网站上。

对于第一种的盗用行为，合法网站的图片被用来美化装饰其它网站，这种盗用对合法网站的损害比较大，因为访问非法网站的访问者其实是从合法网站获 取图片的，合法网站的日志文件充满了访问请求记录，并且带宽被非法访问消耗，而合法网站却没有得到任何好处。这种类型的盗用通过技术手段完全可以被防止。
第二种类型的盗用相对来说比较阴险，浏览者在非法网站直接访问非法的图片，而合法网站的版权受到侵害，却得不到赔偿，甚至无法发现这种盗用。因为Web的工作方式对这种类型的盗用实际上无法被阻止，但是可以使得这种盗用更加困难。
完全杜绝这两种盗用行为是不现实的，但是通过技术手段可以使得这种盗用非常困难。在Apache环境下，通过配置可以限制网站图片被盗用。
解决方法
如下配置可以存放在服务器配置文件httpd.conf中，或者存放在.htaccess文件中(开启AllowOverride All)，最后的效果是一样的：在这些命令作用的范围内，只有从本网站引用的图片才可以被访问。
SetEnvIfNoCase Referer "^http://my.apache.org/" local_ref=1　　
SetEnvIf Request_URI "(.)*logo" local_ref=0
　　

　　
Order Allow,Deny
　　
Allow from env=local_ref
　　

　　

解释:
标识需要保护的文件
　　


作为网站管理员，最大的希望就是能够保护网站上所有文档，但是从技术角度考虑这种想法是不现实的，因此我们这里只讨论对图片文件的保护。作为保护的第一步，首先需要标识出需要保护的文件，然后才能进一步对被标识的文件进行保护。
Referer HTTP头字段
当用户访问Web服务器请求一个页面时，用户浏览器发送的HTTP请求中会有一个被称为HTTP请求头（HTTP Request  Header）的信息，这个头信息中包含客户请求的一些信息，例如发出请求客户主机的浏览器版本、用户语言、用户操作系统平台、用户请求的文档名等，这些 信息以变量名/变量值的方式被传输。
在这些信息中，Referer字段对于实现防止图片盗用非常重要。Referer字段指定客户端最后一个页面的URL地址。例如，如果用户访问 页面A，然后点击在页面A上到页面B的链接，访问页面B的HTTP请求会包括一个Referer字段，该字段会包括这样的信息“这个请求是来自于页面 A”。如果一个请求不是来自于某个页面，而是用户通过直接在浏览器地址栏输入页面A的URL地址的方式来访问页面A，那么在HTTP请求中则不会包括 Referer字段。这样对于我们防止盗链有什么帮助呢？Referer字段是帮助判断对图像的请求是来自自己的页面，还是来自其它网站。
使用SetEnvIf对图像进行标记
SetEnvIfNoCase Referer "^http://my.apache.org/" local_ref=1
作为一个简单的例子，假设需要保护的网站的主页面为http://my.apache.org，这时候希望限制所有不是源于本网站的网络访问请求（例如只允许访问包含在本网站页面内的图片）。
当Apache处理一个请求时，它会检查HTTP请求头中的Referer字段，如果该请求来源于本网站（也就是请求页面的URL为本网站域名），则设置环境变量local_ref为1。
在双引号中的字符串是一个正则表达式，只有匹配该正则表达式，环境变量才会被设置。本文不讨论如何使用正则表达式，这里只需要理解SetEnvIf*命令会使用正则表达式作为参数。
SetEnvIfNoCase命令的“NoCase”部分表示这里的正则表达式忽略大小写，'http://my.apache.org/'、'http://My.Apache.Org/'或 'http://MY.APACHE.ORG/'都可以匹配条件。
允许其它网站的友情连接引用本站logo
SetEnvIf Request_URI "(.)*logo" local_ref=0
表示不在SetEnvIfNoCase Referer "^http://my.apache.org/" local_ref=1范围内,但可以被放行的特例,本例表示url中包含logo字样即可访问。
在访问控制中使用环境变量
Order Allow,Deny　　
Allow from env=local_ref

Apache配置文件中的Order、Allow和Deny命令可以实现对文档的基于环境变量的访问控制，使用Order、Allow和Deny命令首先要考虑的是Allow和Deny命令的顺序对于Apache处理结果的影响，应该以下面的方式使用：　　
Order Allow,Deny
　　
这里表示Apache首先处理该HTTP请求相关的Allow命令，然后处理相关的Deny命令。这种处理方式的默认策略是Deny，所以除非有明确的允许的设置，否则该请求就会被拒绝，任何非法访问将无法成功。

Allow from env=local_ref
这样只有在local_ref变量被定义的情况下，该请求才会被允许；否则其它所有请求和访问将会被拒绝，因为这些请求不满足Allow条件。　　
注意，请不要在.htaccess和httpd.conf中使用容器命令，这里不需要该容器命令，除非有特殊的需求，例如希望Get请求和Post请求进行不同的处理。

对图片进行水印处理
上面介绍的方法并不能完全防止图像盗链，这是因为有些执著的盗用者可以伪造Referer值来盗用图片，使相关设置失效，所以不可能完全防止网站图片被盗链，但是上面采取的措施会使得盗链变得很困难。
此外，还有一个防止图片被盗用的方法，就是对网站的图片都进行水印处理。对一个数字图片进行水印处理是指在图片中加入一个特殊的签名编码，并且 可以进行验证和检测，数字水印并不会降低图片的质量，甚至可以实现图像被切割以后的剩余部分仍然会包括水印信息。图片被再次编辑、打印，并再次扫描以后， 水印仍然可以被检测到。因此，水印技术是一个非常好的保护图片不被盗用的技术。
记录盗用请求
SetEnvIfNoCase Referer "!^http://my.apache.org/" not_local_ref=1　　
SetEnvIfNoCase Request_URI ".(gif|jpg)" is_image=1
　　
RewriteEngine On
　　
RewriteCond ${ENV:not_local_ref} =1
　　
RewriteCond ${ENV:is_image} =1
　　
RewriteRule .* - [Last,Env=poach_attempt:1]
　　
CustomLog logs/poachers_log CLF env=poach_attempt

在httpd.conf文件中添加如上命令，会在 apache安装路径/logs/poachers_log文件中记录所有具有非法的Referer头信息的访问请求
在上面代码中，头两行为条件设置标记（也就是没有正确的本地Referer的图片文件），RewriteCond检测是否该标记被设置，然后RewriteRule设置第三个标记，最后一行使得这样的访问请求被记录在特定的文件中。　　Nginx的防盗链设置
　　在nginx.conf里面加入
　　

• location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
  
• {
  
• valid_referers none blocked www.domin.com domin.com;
  
• if ($invalid_referer) {
  
• rewrite ^/ http://otherdomin.com/404.jpg;
  
• #return 404;
  
• }
  

　　

　　gif|jpg|jpeg|....,这些是你想要屏蔽的文件类型，可以根据情况修改
　　domin.com www.domin.com,修改为你网站的域名，或者是你允许显示你网站图片的其他网站域名，注意中间用空格分开，而不是逗号
　　http://otherdomin.com/404.jpg，显示给盗链者看到的图片，注意不要放到domin.com上，因为放盗链的作用，那样对方是看不到的，可以上传到一些支持外联的网络相册上。
　　更多linux运维资料请关注:http://www.linuxyan.com