如何使用PHP实现图片防盗链，防止未经授权的直接链接

内容简介

可以使用PHP来实现图片防盗链。防盗链是一种措施，用于防止其他网站在未经授权的情况下直接链接到你的图片资源。下面是一种简单的PHP代码示例，可以用来检测并阻止盗链：

<?php
// 获取当前请求的域名
$referer = $_SERVER['HTTP_REFERER'];

// 检查请求的来源是否为空或者不属于你的域名
if($referer && !strstr($referer, "yourdomain.com")){
    // 返回403 Forbidden
    header('HTTP/1.1 403 Forbidden');
    exit;
}

// 如果检查通过，则输出图片
$imagePath = 'path_to_your_image.jpg';
header('Content-Type: image/jpeg');
readfile($imagePath);
?>

在上述代码中，我们通过检查$_SERVER['HTTP_REFERER']来获取请求的来源，然后判断来源是否属于你的域名。如果来源不为空且不属于你的域名，那么就返回403 Forbidden状态码，阻止图片的显示。

关键点

1. Referer检查：代码使用$_SERVER['HTTP_REFERER']变量来获取请求的来源，防止未经授权的直接链接。
2. 403禁止访问：对于不合法的请求，代码返回403 Forbidden状态码，阻止盗链。

代码存在的潜在问题

这种简单的盗链防护方法可以容易地被绕过，因为$_SERVER['HTTP_REFERER']可以被伪造，或者某些浏览器可能禁用这个信息。因此，这种方法只能提供基本的防护。

更可靠的图片防盗链方案

如果你需要更加安全可靠的防盗链方法，可以考虑以下几种方案：

1. 服务器端配置

通过服务器配置文件（如Apache的.htaccess文件）限制图片的直接访问。你可以设置只允许特定的域名或IP地址访问图片资源。具体操作如下：

# 在.htaccess文件中添加如下规则
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^https://(www\.)?yourdomain\.com/ [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [F]

这种配置可以有效阻止其他域名直接访问你的图片。

2. 使用临时授权链接

利用服务器端脚本语言（如PHP）生成带有有效期的临时链接，只有通过该链接访问的请求才会被允许显示图片。比如，使用带有签名的URL，限制图片访问时间：

<?php
$expire = time() + 3600; // 链接有效期1小时
$signature = hash_hmac('sha256', $imagePath . $expire, $secretKey);
echo "<img src='image.php?img=$imagePath&expire=$expire&signature=$signature'>";
?>

服务端可以在每次请求时校验签名和有效期，确保只有合法请求才能访问图片。

3. 动态生成图片链接

每次用户请求图片时，动态生成一个带有有效期或唯一标识符的链接，这样每个链接只能使用一次或在短时间内有效，从而增加盗链难度。

4. 检查请求头信息

除了Referer外，还可以检查其他请求头信息，如User-Agent、Accept等，确认请求是否来自合法来源或浏览器：

if (!strstr($_SERVER['HTTP_USER_AGENT'], 'Mozilla')) {
    header('HTTP/1.1 403 Forbidden');
    exit;
}

这种方法可以进一步验证请求的合法性，但同样不能完全防止伪造。

5. 使用验证码或身份验证

对于一些特定的图片资源，可以要求用户通过验证码或身份验证，只有通过验证的用户才能访问图片。这适用于需要更高安全级别的图片资源。

最后总结

虽然PHP和服务器配置可以实现基本的图片防盗链功能，但无法100%阻止图片的盗链。对于一些高价值或敏感图片资源，建议采取加密存储、访问控制等更为严格的措施。尽管无法完全杜绝盗链，但这些方法可以增加盗链的难度和成本，减少盗链的发生。