欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

借助Referers实现Nginx及Apache防盗链

来源:本站整理 作者:佚名 时间:2017-05-21 TAG: 我要投稿

Nginx防盗链

图片外链作为小网站的流量杀手不禁是不行的。在使用 Nginx 的情况下,我们可以在配置文件中定义一个 location ,用正则表达式匹配常用的图片文件后缀,随后的重点在于如何过滤掉非法访客。

方案一


location  ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
    access_log   off;
    expires      1d;
    valid_referers none blocked *.eason-yang.com server_names ~\.google\. ~\.baidu\. ~\.bing\. ~\.so\. ~\.sogou\.;
    if ($invalid_referer) {
        rewrite ^/ https://ooo.0o0.ooo/2016/09/10/57d379576fee1.jpg;
    }
    root /var/www/hexo;                  
}
第四行的 valid_referers 顾名思义,指的是对合法来源的定义,随后的值含义如下(翻译自:Nginx Docs):

none :请求头中来源为空
blocked :请求头中有来源,但其内容被防火墙或代理代理服务器删除。这样的值不能以 “http://” or “https://”开头
*.eason-yang.com :任意的字符串,可以使用 * 通配符,这里我指定为本站所有来源
server_names 后面接 ~\.google\. 等:正则匹配常用搜索引擎域名,以放行搜索引擎的爬虫。除了搜索引擎,也可以按需添加。
随后用 Nginx 的 if 判断当前请求来源是否合法,不合法则将所访问的内容重写到一个403图片中。此处需要注意的是这个图片最好放在站外的图床中,比如上面这张就放在了 sm.ms 中,这样做并不是为了节省流量,而是为了避免请求403图片时又来到了如上的验证中,出现循环验证与重写。如果不使用外部图床,其实还有两个方案:

方案二

不重写到403图片,而是直接返回404或403:

location  ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
    access_log   off;
    expires      1d;
    valid_referers none blocked *.eason-yang.com server_names ~\.google\. ~\.baidu\. ~\.bing\. ~\.so\. ~\.sogou\.;
    if ($invalid_referer) {
        #return 404;
        return 403;
    }
    root /var/www/hexo;                  
}
方案三

为403图片单独定义一个 location (两个 location 的顺序不能颠倒):


    location ~ ^/403\.jpg$ {
        root    /var/www;
    }
    location  ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
        access_log   off;
        expires      1d;
        valid_referers none blocked *.eason-yang.com server_names ~\.google\. ~\.baidu\. ~\.bing\. ~\.so\. ~\.sogou\.;
        if ($invalid_referer) {
            rewrite ^/ https://eason-yang.com/403.jpg;
#            rewrite ^/ https://ooo.0o0.ooo/2016/09/10/57d379576fee1.jpg;
        }
        root /var/www/hexo;                  
    }
注意事项

不要对再定义其他 location 来复写图片相关的格式的匹配,否则不能保证实现本需求。

Apache防盗链

对于 Apache 来说,自然就要用到 .htaccess 了,实现原理与 Nginx 是类似的。借助于 htaccesstools.com 这个非常实用的网站,我们只需保证 mod_rewrite 已开启后(终端中执行 a2enmod rewrite 命令开启 mod_rewrite ),在这个网站上按需选择生成 .htaccess 后拷贝到服务器上的 .htaccess 中即可。

后记

这种使用 referer 过滤非法访客的方法简单实用,能防止所有直接复制图片链接到自己网站进行使用的盗链方式,但是由于 referer 是从请求头中获取的,修改请求头是件再容易不过的事情了,因此只能说无法防住更高级的盗链,同时对爬虫也是束手无策。这时就要用些相对高级的方法,例如对不同的请求生成不同的 key ,从而杜绝非法请求,Nginx 有一个现成的模块实现了这种方式:nginx-accesskey (此模块似乎已经很久没有更新过了,只找到了几年前的2.0.3版)。

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载