借助Referers实现Nginx及Apache防盗链

Nginx防盗链

图片外链作为小网站的流量杀手不禁是不行的。在使用 Nginx 的情况下,我们可以在配置文件中定义一个 location ,用正则表达式匹配常用的图片文件后缀,随后的重点在于如何过滤掉非法访客。

方案一

1
2
3
4
5
6
7
8
9
location  ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
access_log off;
expires 1d;
valid_referers none blocked *.eason-yang.com server_names ~\.google\. ~\.baidu\. ~\.bing\. ~\.so\. ~\.sogou\.;
if ($invalid_referer) {
rewrite ^/ https://ooo.0o0.ooo/2016/09/10/57d379576fee1.jpg;
}
root /var/www/hexo;
}

第四行的 valid_referers 顾名思义,指的是对合法来源的定义,随后的值含义如下(翻译自:Nginx Docs):

  • none :请求头中来源为空
  • blocked :请求头中有来源,但其内容被防火墙或代理代理服务器删除。这样的值不能以 “http://” or “https://”开头
  • *.eason-yang.com :任意的字符串,可以使用 * 通配符,这里我指定为本站所有来源
  • server_names 后面接 ~\.google\. 等:正则匹配常用搜索引擎域名,以放行搜索引擎的爬虫。除了搜索引擎,也可以按需添加。

随后用 Nginx 的 if 判断当前请求来源是否合法,不合法则将所访问的内容重写到一个403图片中。此处需要注意的是这个图片最好放在站外的图床中,比如上面这张就放在了 sm.ms 中,这样做并不是为了节省流量,而是为了避免请求403图片时又来到了如上的验证中,出现循环验证与重写。如果不使用外部图床,其实还有两个方案:

方案二

不重写到403图片,而是直接返回404或403:

1
2
3
4
5
6
7
8
9
10
location  ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
access_log off;
expires 1d;
valid_referers none blocked *.eason-yang.com server_names ~\.google\. ~\.baidu\. ~\.bing\. ~\.so\. ~\.sogou\.;
if ($invalid_referer) {
#return 404;
return 403;
}
root /var/www/hexo;
}

方案三

为403图片单独定义一个 location (两个 location 的顺序不能颠倒):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
    location ~ ^/403\.jpg$ {
root /var/www;
}

location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
access_log off;
expires 1d;
valid_referers none blocked *.eason-yang.com server_names ~\.google\. ~\.baidu\. ~\.bing\. ~\.so\. ~\.sogou\.;
if ($invalid_referer) {
rewrite ^/ https://eason-yang.com/403.jpg;
# rewrite ^/ https://ooo.0o0.ooo/2016/09/10/57d379576fee1.jpg;
}
root /var/www/hexo;
}

注意事项

不要对再定义其他 location 来复写图片相关的格式的匹配,否则不能保证实现本需求。

Apache防盗链

对于 Apache 来说,自然就要用到 .htaccess 了,实现原理与 Nginx 是类似的。借助于 htaccesstools.com 这个非常实用的网站,我们只需保证 mod_rewrite 已开启后(终端中执行 a2enmod rewrite 命令开启 mod_rewrite ),在这个网站上按需选择生成 .htaccess 后拷贝到服务器上的 .htaccess 中即可。

后记

这种使用 referer 过滤非法访客的方法简单实用,能防止所有直接复制图片链接到自己网站进行使用的盗链方式,但是由于 referer 是从请求头中获取的,修改请求头是件再容易不过的事情了,因此只能说无法防住更高级的盗链,同时对爬虫也是束手无策。这时就要用些相对高级的方法,例如对不同的请求生成不同的 key ,从而杜绝非法请求,Nginx 有一个现成的模块实现了这种方式:nginx-accesskey (此模块似乎已经很久没有更新过了,只找到了几年前的2.0.3版)。

本文由 Eason Yang 创作,采用署名 4.0 国际(CC BY 4.0)创作共享协议进行许可,详细声明

Buy me a cup of coffee.