使用nginx ngx_http_referer_module模块配置防盗链

nginx referer简介

nginx模块ngx_http_referer_module通常用于阻挡来源非法的域名请求.我们应该牢记，伪装Referer头部是非常简单的事情，所以这个模块只能用于阻止大部分非法请求。我们应该记住，有些合法的请求是不会带referer来源头部的，所以有时候不要拒绝来源头部（referer）为空的请求.

图片防盗链配置示例如下

location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$ {
valid_referers none blocked *.91linux.org 91linux.org server_names ~.google. ~.baidu.;
    if ($invalid_referer) {
    return 403;
    #rewrite ^/ http://www.91linux.org/403.jpg;
    }
}

以上所有来至91linux.org和域名中包含google和baidu的站点都可以访问到当前站点的图片,如果来源域名不在这个列表中，那么$invalid_referer等于1，在if语句中返回一个403给用户，这样用户便会看到一个403的页面,如果使用下面的rewrite，那么盗链的图片都会显示403.jpg。如果用户直接在浏览器输入你的图片地址,那么图片显示正常，因为它符合none这个规则.

示例解析

第一行：

location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$

其中“gif|jpg|jpeg|png|bmp|swf”设置防盗链文件类型，自行修改，每个后缀用“|”符号分开！

第二行：

valid_referers none blocked *.91linux.org 91linux.org server_names ~.google. ~.baidu.;

就是白名单，允许文件链出的域名白名单，自行修改成您的域名！ *.91linux.org这个指的是子域名，域名与域名之间使用空格隔开！baidu和google是搜索引擎。

第五行：

rewrite ^/ http://www.91linux.org/403.jpg;

这个图片是盗链返回的图片，也就是替换盗链网站所有盗链的图片。这个图片要放在没有设置防盗链的网站上，因为防盗链的作用，这个图片如果也放在防盗链网站上就会被当作防盗链显示不出来了，盗链者的网站所盗链图片会显示X符号；当然你也可以直接返回403

扩展

这样设置差不多就可以起到防盗链作用了，上面说了，这样并不是彻底地实现真正意义上的防盗链！

我们来看第三行：

valid_referers none blocked *.91linux.org 91linux.org server_names ~.google. ~.baidu.;

valid_referers 里多了“none blocked”

我们把“none blocked”删掉，改成

valid_referers *.91linux.org 91linux.org server_names ~.google. ~.baidu.;

blocked
“Referer”来源头部不为空，但是里面的值被代理或者防火墙删除了，这些值都不以http://或者http://开头.

nginx彻底地实现真正意义上的防盗链完整的代码应该是这样的：

location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$ {
valid_referers *.91linux.org 91linux.org server_names ~.google. ~.baidu.;
    if ($invalid_referer) {
    return 403;
    #rewrite ^/ http://www.91linux.org/403.jpg;
    }
}

这样您在浏览器直接输入图片地址就不会再显示图片出来了，也不可能会再右键另存什么的。

我们应该记住，有些合法的请求是不会带referer来源头部的，所以有时候不要拒绝来源头部（referer）为空的请求.