NGINX 简单防盗链的应用

什么是防盗链

什么是防盗链？比如我们的网站上有一些非常漂亮的图片资源，另外一个网站的站长也喜欢，想把这些图片放到自己的网站上去，所以他就将我们网站上的图片资源的连接放到了他的网站上进行展示，而这过程中只会对我们的服务器产生消耗，对他的服务器并不会产生消耗，这就是盗链。所以对于这种行为我们应该对其禁止。

Nginx 中的防盗链

要防盗链首先我们需要区分哪些是属于正常的访问哪些是不正常的访问，要让正常的用户能正常的访问到资源；
在 Nginx 中可以通过 http_referer_module 模块来进行设置。

http_referer_module

http_referer_module 模块用于在 Referer 字段中阻止无效值得请求；
Referer 字段用来向服务端传递本次请求资源是从哪个地址来的，比如在 www.a.com 的首页 index.html 中有一个连接是访问 www.b.com 的 index.html 的，当我点了这个连接转到 www.b.com/index.html 上后，那么请求 www.b.com/index.html 的 Referer 就是 www.a.com/index.html。

valid_referers 指令配置语法

Syntax:	valid_referers none | blocked | server_names | string ...;
Default:	—
Context:	server, location

用来控制允许访问的 Referer 类型；
none 表示允许没有携带 Referer 信息的访问；
blocked 表示允许不带有标准协议头（http://，https://）的 Referer 信息访问；
server_name 允许某个域来请求。他其实控制的是 $invalid_referer 这个变量，如果 Referer 与 server_name 匹配不上，那么 $invalid_referer 这个变量的值就等于 1，否则为空。
所以我们可以用一条判断语句来判断 $invalid_referer 变量的值是否为 1 ，如果为 1 就将其拒绝。

示例

server {
    listen       80;
    server_name  www.b.com;

    root   /opt/web_b/;
    index  index.html index.htm;

    location ~ .*\.(jpg|jpeg|gif|png|ico)$ {
        valid_referers none blocked www.c.com;
        if ($invalid_referer) {
                return 403;
        }       
    }

在上面我们对 www.b.com 这个虚拟主机做了配置，对站点中的图片只允许 www.c.com 域名来访问，对于从其他地址来的都给响应 403 错误。

在 www.a.com 的页面中插入 www.b.com 站点中的一张图片

可以看到 www.a.com 页面中自己的内容能正常显示，但是来自 www.b.com 站点的图片没有显示出来，出现了 403 错误。

使用 curl 工具来模拟 www.c.com 的访问

可以看到返回的状态码为 200 表示是能正常访问的。

对于 server_name 也可以使用正则表达式来匹配，正则表达式应该使用 ~ 符号开头，表达式会匹配 或 之后的内容。
例如我们需要允许来自搜索引擎的 Referer

valid_referers none blocked www.c.com ~\.google\.;

END!