浏览器向web服务器发送请求时一般会在header中带上Referer信息,服务器可以借此获得一些信息用来处理盗链
不过Referer头信息其实是可以伪装生成的,所以通过Referer信息防盗链并非100%可靠
核心点就是在Nginx配置文件中,加入valid_referers参数
valid_referers [none|blocked|server_names] ...
默认值:none
使用环境:server,location
该指令会根据Referer Header头的内容分配一个值为0或1给变量$invalid_referer。如果Referer Header头不符合valid_referers指令设置的有效Referer,变量$invalid_referer将被设置为1
该指令的参数可以为下面的内容:
none:表示无Referer值的情况。
blocked:表示Referer值被防火墙进行伪装。
server_names:表示一个或多个主机名称。从Nginx 0.5.33版本开始,server_names中可以使用通配符"*"号。
我尝试在我的图片服务器配置中加入
location ^~ /images/ {
root "D:/project/changye_blog2";
autoindex on;
valid_referers changye.top;
if ($invalid_referer) {
return 403;
}
}
看了看,其他域名确实打不开图片了
不过呢,也有例外:
有些图片请求头里referer明明标记的是localhost,却还是请求成功了。再仔细一看,原来是读取的缓存,如果清了缓存再次请求就不行咯