利用nginx“ngx_http_referer_module”模块设置防盗链

ilukujht

                          ngx_http_referer_module模块允许拦截“Referer”请求头中含有非法值的请求，阻止它们访问站点。 需要注意的是伪造一个有效的“Referer”请求头是相当容易的， 因此这个模块的预期目的不在于彻底地阻止这些非法请求，而是为了阻止由正常浏览器发出的大规模此类请求。 还有一点需要注意，即使正常浏览器发送的合法请求，也可能没有“Referer”请求头。

语法:  valid_referers none | blocked | server_names | string ...;

    “Referer”请求头为指定值时，内嵌变量$invalid_referer被设置为空字符串， 否则这个变量会被置成“1”。查找匹配时不区分大小写。

该指令的参数可以为下面的内容：

none：缺少“Referer”请求头；

blocked：“Referer” 请求头存在，但是它的值被防火墙或者代理服务器删除；这些值都不以“http://” 或者 “[url=]https://”字符串作为开头；[/url]

server_names：“Referer” 请求头包含某个虚拟主机名；

string ...：任意字符串定义一个服务器名和可选的URI前缀。服务器名允许在开头或结尾使用“*”符号。 当nginx检查时，“Referer”请求头里的服务器端口将被忽略。

正则表达式：必须以“~”符号作为开头。 需要注意的是表达式会从“http://”或者“https://”之后的文本开始匹配。

参数详解：

none：表示referer为空，比如我们直接在浏览器打开一个网站或者图片时。
当有该选项时，虽然做了防盗链，但是在浏览器直接输入地址，还是可以看到图片或者直接下载文件，如果要防止这种方法下载，去掉none选项就OK了。

blocked：这个不大好理解，上机做了个实验：
nginx.confg里的配置如下

1 2 3 4 5 6

location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {     valid_referers blocked www.a.com;     if ($invalid_referer) {         return 403;     } }

用curl进行测试：

[iyunv@www ~]# curl -e 'http://www.a.com' localhost/static/image/common/logo.png -I
HTTP/1.1 200 OK
Server: nginx/1.8.1
Date: Thu, 29 Dec 2016 02:06:17 GMT
Content-Type: image/png
Content-Length: 4425
Last-Modified: Tue, 31 May 2016 03:08:36 GMT
Connection: keep-alive
ETag: "574d0034-1149"
Accept-Ranges: bytes

referer为 http://www.a.com 时返回200，请求成功，继续：

[iyunv@www ~]# curl -e 'http://www.b.com' localhost/static/image/common/logo.png -I
HTTP/1.1 403 Forbidden
Server: nginx/1.8.1
Date: Thu, 29 Dec 2016 02:06:39 GMT
Content-Type: text/html
Content-Length: 168
Connection: keep-alive

referer设为 http://www.a.com 返回403被拒绝了，继续：

[iyunv@www ~]# curl -e 'www.b.com' localhost/static/image/common/logo.png -I
HTTP/1.1 200 OK
Server: nginx/1.8.1
Date: Thu, 29 Dec 2016 02:06:47 GMT
Content-Type: image/png
Content-Length: 4425
Last-Modified: Tue, 31 May 2016 03:08:36 GMT
Connection: keep-alive
ETag: "574d0034-1149"
Accept-Ranges: bytes


去掉"http://"，把referer设为 www.b.com， 状态码返回200，说明服务器已成功处理了请求

    通过测试，我的理解是，因为某些防火墙或者代理服务器会删除Referer的值，所以无法跟据Referer的值来进行拦截，只要不是以“http://” 或者 “https://”字符串作为开头的Referer都不会被拒绝，不知道这个观点对不对。


server_names：指在nginx配置文件中由server_name指令设置的虚拟主机名；
例如，对除www.a.com，www.b.com外的网站进行防盗链，server_names表示www.a.com，www.b.com两个网站：

1 2 3 4 5 6 7 8 9 10 11 12 13

server {         listen 80;         server_name www.a.com www.b.com;         root   /data/www;         index  index.html index.htm;         location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {         valid_referers server_names;             if ($invalid_referer) {                 return 403;                 #rewrite ^/ http://www.a.com/nophoto.gif;             }          }      }

string ...：任意字符串可以用*.example.com，www.example.*等来表示，例如：

1 2 3 4

valid_referers none blocked *.example.com;         if ($invalid_referer) {             return 403;         }