Nginx 防盗链配置

Nginx 防盗链配置是一种保护网站资源，防止被其他网站非法引用的一种安全措施。通过配置防盗链，您可以限制某些不合法的请求访问特定资源，例如图片、视频等。以下是 Nginx 防盗链配置的详细解析及案例。

一、Nginx 防盗链配置原理

防盗链通过检查 HTTP 请求头中的 Referer 字段来实现。Referer 字段记录了请求的来源页面的 URL。如果 Referer 字段的值不是本站的 URL，或者为空、被伪造等情况，Nginx 可以拒绝该请求，防止非法使用资源。

二、Nginx 防盗链配置步骤

1. 编辑 Nginx 配置文件

Nginx 配置文件通常是 nginx.conf，也可能在 sites-available 或 conf.d 目录下，具体取决于 Nginx 的安装方式和操作系统。

2. 定位到 server 块

在 Nginx 配置文件中，找到需要配置防盗链的 server 块。通常，您需要在相应的 location 块中添加防盗链配置。

3. 配置 valid_referers 指令

valid_referers 用来定义哪些 Referer 是合法的。例如：

valid_referers none blocked server_names *.example.com example.com;

• none：允许 Referer 为空的请求（可能是直接访问）。
• blocked：允许被代理服务器或防火墙伪装的 Referer。
• server_names：允许匹配服务器名称的 Referer。
• *.example.com 和 example.com：指定允许的域名或子域名。

4. 配置防盗链行为

可以使用 if 语句或 rewrite 指令来定义不合法请求的处理方式。

• 返回 403 Forbidden 错误：

if ($invalid_referer) {
    return 403;
}

• 使用 rewrite 指令重定向到自定义错误页面：

if ($invalid_referer) {
    rewrite ^/ http://example.com/error.html;
}

5. 保存并测试配置

保存 nginx.conf 配置文件后，执行 nginx -t 来测试配置是否正确。若无误，可以使用 nginx -s reload 来平滑重启 Nginx 使配置生效。

三、Nginx 防盗链配置案例

场景描述

假设有两个网站，A 网站和 B 网站。B 网站上有一张图片，A 网站通过直接链接 B 网站的图片 URL 来显示该图片。为防止这种盗链行为，B 网站可以在 Nginx 中配置防盗链。

B 网站的 Nginx 配置示例

server {
    listen 80;
    server_name b.example.com;

    location /images/ {
        alias /path/to/images/;
        
        # 设置合法的 Referer
        valid_referers none blocked server_names b.example.com;
        
        # 若为非法 Referer，请求将返回 403 Forbidden
        if ($invalid_referer) {
            return 403;
        }

        # 其他配置...
    }

    # 其他 location 块...
}

说明

• location /images/：针对 images 目录下的资源进行防盗链保护。
• alias /path/to/images/：映射本地服务器的图片资源目录。
• valid_referers：允许来自 B 网站的合法请求，其他来源或伪造请求则视为非法。
• if ($invalid_referer)：如果 Referer 不合法，Nginx 返回 403 错误，禁止访问该资源。

通过此配置，B 网站的 /images/ 目录下的图片只有在合法 Referer 来源时才能访问，防止其他网站非法链接该图片。

四、注意事项

1. 性能影响

过多的 if 语句或复杂的 rewrite 规则可能对 Nginx 的性能产生一定影响，因此建议配置时保持简单，避免不必要的复杂判断。

2. 安全性

基于 Referer 的防盗链方法容易被绕过。例如，恶意用户可以伪造 Referer 来规避防盗链限制。对于安全要求较高的场景，建议采用更安全的解决方案，例如基于 URL 签名 的防盗链方法。

3. 兼容性

不同浏览器或 HTTP 客户端对 Referer 字段的处理方式不同。某些情况下，Referer 可能会被防火墙、隐私插件或浏览器设置阻止，从而导致合法请求无法通过。因此，配置防盗链时需要考虑兼容性。

五、基于 URL 签名的高级防盗链

对于安全要求较高的场景，可以使用基于 URL 签名的防盗链机制。服务器生成带有签名的 URL，客户端必须携带合法的签名才能访问资源。签名验证可以通过时间戳、哈希算法等方式来避免资源被非法下载。

通过以上步骤，您可以为 Nginx 配置防盗链来保护网站资源，防止被其他网站非法引用和使用。