首页 > 代码库 > 利用nginx“ngx_http_referer_module”模块设置防盗链

利用nginx“ngx_http_referer_module”模块设置防盗链

2024-09-02 02:47:52   217人阅读

    ngx_http_referer_module模块允许拦截“Referer”请求头中含有非法值的请求,阻止它们访问站点。 需要注意的是伪造一个有效的“Referer”请求头是相当容易的, 因此这个模块的预期目的不在于彻底地阻止这些非法请求,而是为了阻止由正常浏览器发出的大规模此类请求。 还有一点需要注意,即使正常浏览器发送的合法请求,也可能没有“Referer”请求头。

语法:  valid_referers none | blocked | server_names | string ...;
 

“Referer”请求头为指定值时,内嵌变量$invalid_referer被设置为空字符串, 否则这个变量会被置成“1”。查找匹配时不区分大小写。

该指令的参数可以为下面的内容:
none:缺少“Referer”请求头;
blocked:“Referer” 请求头存在,但是它的值被防火墙或者代理服务器删除;这些值都不以“http://” 或者 “https://”字符串作为开头;
server_names:“Referer” 请求头包含某个虚拟主机名;
string ...:任意字符串定义一个服务器名和可选的URI前缀。服务器名允许在开头或结尾使用“*”符号。 当nginx检查时,“Referer”请求头里的服务器端口将被忽略。
正则表达式必须以“~”符号作为开头。 需要注意的是表达式会从“http://”或者“https://”之后的文本开始匹配。



none:表示referer为空,比如我们直接在浏览器打开一个网站或者图片时。

blocked:这个不大好理解,上机做了个测试:

nginx.confg里的配置为

location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
    valid_referers blocked www.a.com;
    if ($invalid_referer) {
        return 403;
    }
}

用curl进行测试

[root@local ~]# curl -x127.0.0.1:80 ‘localhost/static/image/common/logo.png‘ -I -e ‘http://www.a.com‘
HTTP/1.1 200 OK
Server: nginx/1.8.1
Date: Thu, 29 Dec 2016 00:59:44 GMT
Content-Type: image/png
Content-Length: 4425
Last-Modified: Tue, 31 May 2016 03:08:36 GMT
Connection: keep-alive
ETag: "574d0034-1149"
Accept-Ranges: bytes

[root@local ~]# curl -x127.0.0.1:80 ‘localhost/static/image/common/logo.png‘ -I -e ‘http://www.b.com‘
HTTP/1.1 403 Forbidden
Server: nginx/1.8.1
Date: Thu, 29 Dec 2016 01:00:09 GMT
Content-Type: text/html
Content-Length: 168
Connection: keep-alive

[root@local ~]# curl -x127.0.0.1:80 ‘localhost/static/image/common/logo.png‘ -I -e ‘www.b.com‘
HTTP/1.1 200 OK
Server: nginx/1.8.1
Date: Thu, 29 Dec 2016 01:00:15 GMT
Content-Type: image/png
Content-Length: 4425
Last-Modified: Tue, 31 May 2016 03:08:36 GMT
Connection: keep-alive
ETag: "574d0034-1149"
Accept-Ranges: bytes


通过测试,我的理解是,因为某些防火墙或者代理服务器会删除Referer的值,所以无法跟据Referer的值来进行拦截,只要不是以“http://” 或者 “https://”字符串作为开头的Referer都通过,不知道这个观点对不对。


server_names:指nginx配置文件中设置的虚拟主机名;

例如,对除www.a.com,www.b.com外的网站进行防盗链:

    server {
        listen 80;
        server_name www.a.com www.b.com;
        root   /data/www;
        index  index.html index.htm;
        location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {
        valid_referers server_names;
            if ($invalid_referer) {
                return 403;
                #rewrite ^/ http://www.example.com/nophoto.gif;
            }
         }
     }


string ...:任意字符串可以用*.example.com,www.example.*等来表示,例如:

    valid_referers none blocked *.example.com;
    valid_referers server_names;
        if ($invalid_referer) {
            return 403;
        }


利用nginx“ngx_http_referer_module”模块设置防盗链


联系
我们