1、Nginx防盗链配置案例配置

Nginx的防盗链配置可以帮助阻止其他网站盗用你的静态资源，确保资源仅被合法网站访问。以下是一个简单的Nginx防盗链配置案例：

假设你的网站域名是wuwh.com，并且你希望只允许wuwh123.com的网站引用你的图片资源。

server {

listen 80;

server_name wuwh.com;

location ~ \.(jpg|jpeg|png|gif)$ {

valid_referers none blocked wuwh123.com;

if ($invalid_referer) {

rewrite ^/ http://www.wuwh.com/403.html;

return 403;

}

# 允许其他的配置，如root、index等

root /path/to/your/static/files;

index index.html index.htm;

# 其他相关配置...

}

# 其他 server 配置...

}

在上述配置中：valid_referers 定义了允许的引用来源，其中none表示禁止所有引用，blocked表示不允许被引用，wuwh.com表示允许wuwh123.com引用。

对以gif、jpg、png、swf、flv为后缀的文件实行了防盗链处理。valid_referers指令用于指定允许访问资源的请求来源，none表示不允许任何Referer，允许缺失referer头部的请求访问，有referer就赋invalid_referer值为真。blocked表示检测Referer头域的值被防火墙或者代理服务器删除或伪装的情况。当请求通过防火墙或代理服务器时，有些安全设置会剔除或修改Referer头域，以保护用户的隐私或增强安全性。因此，当使用blocked时，Nginx将考虑到这种情况，并允许这些请求通过防盗链验证。在这个例子中，允许来自wuwh.com域名的请求访问资源。如果请求的来源不在valid_referers列表中，Nginx将重定向到http://www.wuwh.com/403.html，并返回403错误。

$invalid_referer 是Nginx内置变量，用于检查引用来源是否合法。

如果引用来源不在允许的列表中，返回403 Forbidden错误。

重新加载Nginx配置：

除了设置响应头，Nginx 还提供了其他一些方法来实现防盗链功能，包括：

使用if语句：可以使用if语句根据请求的某些条件来判断是否允许访问。例如，可以检查请求的User-Agent头部、IP 地址或其他参数，并根据这些条件决定是否允许访问。

使用rewrite指令：通过rewrite指令可以将不合法的请求重定向到指定的页面或 URL。可以将非法请求重定向到一个错误页面或登录页面，以提醒用户链接无效。

使用deny指令：使用deny指令可以直接拒绝不合法的请求。可以根据特定的条件（如IP 地址、User-Agent等）来拒绝请求，并返回相应的错误码。

使用第三方模块：Nginx 有许多第三方模块可以提供更高级的防盗链功能。例如，ngx_http_referer_module模块可以更细粒度地控制和检查Referer头部。

保存修改后，执行以下命令重启或重新加载Nginx配置：

sudo systemctl reload nginx

测试防盗链配置：

在浏览器中访问你的网站，并确保图片正常加载。然后尝试在其他域名下引用这些图片，确保防盗链机制生效。

请注意，防盗链配置是一种基本的安全措施，但并不是绝对安全。攻击者有可能伪造引用来源。因此，对于敏感资源，建议采用其他更强大的身份验证和授权机制，如使用签名URL、Token验证等。