http的referer和盗链
http协议中的referer,用来表示来源,当请求html页面时没有referer,但是因为html中引入了css、js、img等静态资源,这些静态资源都需要一个来源,所以referer就表示了这个来源。
盗链就是当referer是其他站点通过代理、html中的引用都一些方法访问到我们这个站点的静态资源来生成的,域名不是我们自己的域名。我们可以利用referer来防止盗链,通过判断取到的referer是不是我们自己想要的域名,如果是就继续访问,否则进行拦截。
防盗链基本配置与none
目前四个虚拟机,CentOS7-1是Nginx服务器,CentOS7-2是Tomcat服务器,CentOS7-1代理了CentOS7-2
配置CentOS7-3代理CentOS7-1,也就是再配置另一台Nginx服务器代理现在的Nginx服务器,使用proxy_pass
访问CentOS7-3,也就是另一台Nginx服务器,它代理了CentOS7-1(Nginx),CentOS7-1(Nginx)也代理了CentOS7-2(Tomcat),所以可以正常访问
这时我们不想让css、js、img等静态资源暴露给除了nginx7-1服务器以外的其他服务器,修改nginx7-1的配置文件
防盗链配置:valid_referers none | blocked | server_name | strings ...;
- none:检测referer不存在的情况
- blocked:检测referer的值被防火墙或者代理服务器删除或伪装的情况。这种情况该referer的值不以“http://”或"https://"开头
- server_name,设置一个或多个合法的url,用来检测referer的值是否是其中的某个`
重启nginx,访问合法的referer(CentOS7-1),可以发现静态资源都可以加载出来
访问不合法的referer,可以发现静态资源无法访问,都会报403,防盗链成功
直接访问某张静态图片,就算没有referer,也是报403
如果想要在没有referer的情况下可以访问静态资源,使用none,修改配置文件
直接打开静态图片,发现没有referer也可以访问
使用curl测试防盗链
yum install -y curl
使用curl测试:
curl -I http://192.168.195.128/topimg/logo.png
带referer(使用某个地址访问资源):
curl -e "http://baidu.com" -I http://192.168.195.128/topimg/logo.png
盗链资源返回错误页面或错误图片
返回错误页面
新建一个错误页面html
修改配置文件,增加error_page
配置如果是不合法的referer,就返回错误页面
使用不合法的referer访问静态资源,报401,返回错误页面
返回错误图片
准备一张错误图片,放到某一目录下
修改配置文件,如果发现不合法的referer,就把所有不合法请求rewrite为错误图片的目录地址
访问不合法的referer,所有图片的地址都会被rewrite为错误图片的地址
