Nginx设置图片防盗链（白名单与黑名单）

Dear 丶 2022-11-03 00:48 336阅读 0赞

点击蓝字关注这个神奇的公众号～

![aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2ltZ19jb252ZXJ0LzgyMTljOWRkMTViMmJkZmE0OWNhZWM5YTI2Zjg4YzNmLmdpZg][]

某些时候可能您会发现，别人网站直接将您的网站图片拿过去使用，导致额外消耗服务器流量和带宽，如果本身服务器带宽和流量就比较小，被人盗链后势必会造成一定影响。这篇文章分享下如何通过Nginx来设置防盗链，禁止其它网站盗用图片。

![format_png][]

### 防盗链原理 ###

防盗链的原理其实很简单，目前比较流行的做法就是通过Referer来进行判断和限制，Referer的解释说明如下：

> HTTP Referer是header的一部分，当浏览器向web服务器发送请求的时候，一般会带上Referer，告诉服务器我是从哪个页面链接过来的，服务器基此可以获得一些信息用于处理。——引用自百度百科

简单来说，假如我博客域名是`xiaoz.me`，我在nginx中设置，只允许Referer为`*.xiaoz.me`的来源请求图片，其它网站来的一律禁止。这里我们需要用到`ngx_http_referer_module`模块和`$invalid_referer`变量，请看下面进一步解释。

### ngx\_http\_referer\_module模块 ###

`ngx_http_referer_module`模块用于阻止对“Referer”头字段中具有无效值的请求访问站点。应该记住，使用适当的“Referer”字段值来构造请求非常容易，因此本模块的预期目的不是要彻底阻止此类请求，而是阻止常规浏览器发送的请求的大量流量。还应该考虑到，即使对于有效请求，常规浏览器也可能不发送“Referer”字段。

*  **语法：**valid\_referers none | blocked | server\_names | string ...;
 *  **可用于：**server,location

可以看到valid\_referers指令中存在一些参数，比如none|blocked，含义如下：

*  none：请求标头中缺少“Referer”字段，也就是说Referer为空，浏览器直接访问的时候Referer一般为空。
 *  blocked：Referer”字段出现在请求标头中，但其值已被防火墙或代理服务器删除; 这些值是不以“http://” 或 “https://” 开头的字符串;
 *  server\_names：服务器名称，也就是域名列表。

### $invalid\_referer变量 ###

我们设置valid\_referers 指令后，会将其结果传递给一个变量`$invalid_referer`，其值为0或1，可以使用这个指令来实现防盗链功能，如果valid\_referers列表中没有包含Referer头的值，$invalid\_referer将被设置为1。

### 设置防盗链白名单 ###

白名单就是只允许白名单内的域名访问，其余一律禁止。

location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|flv|mp4|ico|webp)$ {
        valid_referers none blocked *.xiaoz.me *.xiaoz.top;
        if ($invalid_referer) {
            return 403;
        }
    }

上面的配置含义是先用location匹配出需要的格式（图片和视频），然后用valid\_referers指令设置允许的域名，其它域名没有包含在valid\_referers列表中，$invalid\_referer变量返回的值为1，最终返回403，禁止访问。以上就是防盗链白名单的设置。

### 防盗链黑名单 ###

黑名单与白名单正好相反，就是只禁止黑名单中的域名请求，其余一律放行，相比白名单，黑名单的限制更加宽松。网上大部分教程只提到了防盗链白名单的设置，了解原理后黑名单的设置方法也差不多。

location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|flv|mp4|ico|webp)$ {
        valid_referers *.baidu.com;
        if ($invalid_referer = 0) {
            return 403;
        }
    }

上面的配置中我们用`valid_referers`指令设置黑名单域名`*.baidu.com`，获取到指定的Referer头之后，`$invalid_referer`返回值为0，最终返回403，禁止百度的域名来访问。

### 总结 ###

以上就是Nginx防盗链（黑白名单）的设置，了解原理后其实非常简单，但由于Referer可以任意伪造，上述方法无法拦截伪造的Referer请求，不过大部分常见的场景还是有作用的。如果您服务器带宽和流量本身就比较小，建议加上防盗链设置。

**![aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2ltZ19jb252ZXJ0L2VmYzk4MWJhZmZjMDMzNDNiMDM5ZDc4MWVmMmY0ZGIwLmdpZg][]**

**回复**【**干货**】获取精选干货视频教程

**回复**【**加群**】加入疑难问题攻坚交流群

**回复**【**mat**】获取内存溢出问题分析详细文档教程

**回复**【**赚钱**】获取用java写一个能赚钱的微信机器人

**回复**【**副业**】获取程序员副业攻略一份

![format_png 1][]

点个“在看”表示朕

已阅

[aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2ltZ19jb252ZXJ0LzgyMTljOWRkMTViMmJkZmE0OWNhZWM5YTI2Zjg4YzNmLmdpZg]: /images/20221024/643400aba5f24579bd3f259c310f4441.png
[format_png]: /images/20221024/e08bd592e5e1431898c93f0ac0257986.png
[aHR0cHM6Ly9pbWctYmxvZy5jc2RuaW1nLmNuL2ltZ19jb252ZXJ0L2VmYzk4MWJhZmZjMDMzNDNiMDM5ZDc4MWVmMmY0ZGIwLmdpZg]: /images/20221024/6d68c8bf20834d2cab7bc86f3ab3cb8d.png
[format_png 1]: /images/20221024/cfac66f4e03e40fab6a6b0fa177ea25e.png