Nginx服务器-图片防盗链三种实用方法

原创

petermis 2012-12-12 17:26:59 博主文章分类：nginx ©著作权

©著作权归作者所有：来自51CTO博客作者petermis的原创作品，请联系作者获取转载授权，否则将追究法律责任

一、全站的防盗链方法

在/usr/local/nginx/conf/nginx.conf文件要添加防盗链的server段里添加下面的代码：

location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$ {
valid_referers none blocked www.55.org 55.org;
if ($invalid_referer) {
rewrite ^/ http://www.55.org/403.html;
#return 403;
}
}第一行：gif|jpg|png|swf|flv
表示对gif、jpg、png、swf、flv后缀的文件实行防盗链
第二行：表示对www.55.org这2个来路进行判断
if{}里面内容的意思是，如果来路不是指定来路就跳转到http://www.55.org/403.html页面，当然直接返回403也是可以的。
请确保server段中只有一个location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$，否则可能导致代码无效，如有这个代码段请合并或删除。
切记：如果要跳转到图片，记得替换的图片地址要使用没有防盗链的网站图片，否则由于替换的图片其实也处于防盗链情况下，会造成仍旧无法显示设置的图片。
测试一下配置是否OK，命令如下：

/usr/local/nginx/sbin/nginx -t返回以下结果表示正常：

the configuration file /usr/local/nginx/conf/nginx.conf syntax is ok
configuration file /usr/local/nginx/conf/nginx.conf test is successful

然后服务器重启，如果是LNMP的执行如下命令重启LNMP即可：

/root/lnmp restart二、针对图片目录防止盗链

location /p_w_picpaths/ {
alias /data/p_w_picpaths/;
valid_referers none blocked server_names *.55.org 55.org;
if ($invalid_referer) {return 403;}

需要注意的是，这二段防盗链的配置要放在正确的server里，也就是要放在图片url所在的server_name里。其次
rewrite也要写正确，否则可能造成重复rewrite，可以用firefox的插件Firebug来查看。如果不想重写到某个url，
可以直接返回403。

附上有关Referer的解释：

当一个请求头的Referer字段中包含一些非正确的字段，这个模块可以禁止这个请求访问站点。
这个头可以随意的伪造，因此，使用这个模块并不能100%的阻止这些请求，绝大多数拒绝的请求来自一些典型的浏览器，
可以认为这些典型的浏览器并不能提供一个”Referer”头，甚至是那些正确的请求。

指令：valid_referers

语法：valid_referers [none|blocked|server_names] …
默认值：none
使用字段：server, location
这个指令在referer头的基础上为 $invalid_referer 变量赋值，其值为0或1。
可以使用这个指令来实现防盗链功能，如果valid_referers列表中没有Referer头的值， $invalid_referer将被设置为1（

参照前例）。
参数可以使如下形式：

none意为不存在的Referer头
blocked意为根据防火墙伪装Referer头，如：“Referer: XXXXXXX”。
server_names为一个或多个服务器的列表，0.5.33版本以后可以在名称中使用“*”通配符。

}三、使用第三方模块ngx_http_accesskey_module实现Nginx防盗链

实现方法如下：

1.下载NginxHttpAccessKeyModule模块文件：Nginx-accesskey-2.0.3.tar.gz；

2.解压此文件后，找到nginx-accesskey-2.0.3下的config文件。编辑此文件：替换其中的"$HTTP_ACCESSKEY_MODULE"为"ngx_http_accesskey_module"；

3.用一下参数重新编译nginx：

./configure --add-module=path/to/nginx-accesskey

4. 修改nginx的conf文件，添加以下几行：

location /download {
accesskey on;
accesskey_hashmethod md5;
accesskey_arg "key";
accesskey_signature "mypass$remote_addr";
}其中：

accesskey为模块开关；
accesskey_hashmethod为加密方式MD5或者SHA-1；
accesskey_arg为url中的关键字参数；
accesskey_signature为加密值，此处为mypass和访问IP构成的字符串。
访问测试脚本download.php：

<?
$ipkey= md5("mypass".$_SERVER['REMOTE_ADDR']);
$output_add_key="<a href=http://www.55.org/download/G3200507120520LM.rar?key=".$ipkey.">download_add_key</a><br />";
$output_org_url="<a href=http://www.55.org/download/G3200507120520LM.rar>download_org_path</a><br />";
echo $output_add_key;
echo $output_org_url;
?>访问第一个download_add_key链接可以正常下载，第二个链接download_org_path会返回403 Forbidden错误。