- Nginx防盗链
盗链:
如两个网站 A 和 B, B网站引用了A网站上的图片,这种行为就叫做盗链。 防盗链,就是要防止B引用A的图片。
1、nginx 防止网站资源被盗用模块
ngx_http_referer_module
区分非正常用户
HTTP Referer是Header的一部分,当浏览器向Web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器借此可以获得一些信息用于处理,例如防止未经允许的网站盗链图片、文件等。因此HTTP Referer头信息是可以通过程序来伪装生成的,所以通过Referer信息防盗链并非100%可靠,但是,它能够限制大部分的盗链情况。
2. 防盗链配置
配置要点:
[root@nginx-server ~]# vim /etc/nginx/nginx.conf# 日志格式添加"$http_referer"log_format main '$remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"';# valid_referers 使用方式 Syntax: valid_referers none | blocked | server_names | string ...;Default: — Context: server, location
none : 允许没有http_referer的请求访问资源; blocked :
允许不是http://开头的,不带协议的请求访问资源—被防火墙过滤掉; server_names :
只允许指定ip/域名来的请求访问资源(白名单);
准备两台机器,一张图片网站服务器
#图片网站服务器:上传图片192.168.1.9[root@nginx-server ~]# cp test.jpg /usr/share/nginx/html/[root@nginx-server ~]# cd /etc/nginx/conf.d/[root@nginx-server conf.d]# cp default.conf default.conf.bak[root@nginx-server conf.d]# mv default.conf nginx.conf[root@nginx-server conf.d]# vim nginx.confserver {
listen 80;
server_name localhost;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
}
}[root@nginx-server conf.d]# nginx -t[root@nginx-server conf.d]# systemctl restart nginx访问IP(“-”连接IP为空)
盗链机器配置:192.168.1.10
[root@nginx-client html]# cat /etc/nginx/conf.d/qf.conf
server {
listen 80;
server_name localhost;
location / {
root /usr/share/nginx/html;
index index.html;
}
}
[root@nginx-client ~]# cd /usr/share/nginx/html/[root@nginx-client html]# cp index.html index.html.bak[root@nginx-client html]# vim index.html<html><head>
<meta charset="utf-8">
<title>qf.com</title></head><body style="background-color:red;">
<img src="http://192.168.1.9/test.jpg"/></body></html>[root@nginx-client html]# systemctl restart nginx测试访问IP
查看图片网站服务器日志:
Referer记录了:连接是1.10这台机器。
#在图片服务器操作
[root@nginx-server conf.d]# vim nginx.confserver {
listen 80;
server_name localhost;
location / {
root /usr/share/nginx/html;
index index.html index.htm;
valid_referers none blocked www.jd.com; #允许这些访问
if ($invalid_referer) {
return 403;
}
}}[root@nginx-server conf.d]# systemctl restart nginx测试访问IP(域名)
图片服务器查看日志
上面配置并没有允许192.168.1.10这台机器访问。
例二:
[root@nginx-server html]# vim /etc/nginx/conf.d/nginx.conf #将原来的删除掉server {
listen 80;
server_name localhost;
location ~ .*\.(gif|jpg|png|jpeg)$ {
root /usr/share/nginx/html;
valid_referers none blocked *.qf.com 192.168.1.10;
if ($invalid_referer) {
return 403;
}
}}#因为none允许为空值访问,所以加不加ip都可以访问,如果把none擦除,就不可以了重载nginx服务[root@nginx-server ~]# nginx -s reload在其中一台机器测试:
#测试不带http_refer:[root@nginx-server conf.d]# curl -I "http://192.168.1.9/test.jpg"HTTP/1.1 200 OK Server: nginx/1.16.1 Date: Mon, 02 Sep 2019 14:02:56 GMT Content-Type: image/jpeg Content-Length: 27961 Last-Modified: Mon, 02 Sep 2019 13:23:12 GMT Connection: keep-alive ETag: "5d6d17c0-6d39"Accept-Ranges: bytes#测试带非法http_refer:[root@nginx-server conf.d]# curl -e http://www.baidu.com -I "http://192.168.1.9/test.jpg"HTTP/1.1 403 Forbidden Server: nginx/1.16.1 Date: Mon, 02 Sep 2019 14:03:48 GMT Content-Type: text/html Content-Length: 153 Connection: keep-alive#测试带合法的http_refer:[root@nginx-server conf.d]# curl -e http://www.qf.com -I "http://192.168.1.9/test.jpg"HTTP/1.1 200 OK Server: nginx/1.16.1 Date: Mon, 02 Sep 2019 14:04:52 GMT Content-Type: image/jpeg Content-Length: 27961 Last-Modified: Mon, 02 Sep 2019 13:23:12 GMT Connection: keep-alive ETag: "5d6d17c0-6d39"Accept-Ranges: bytes[root@ansible-server conf.d]# curl -e http://192.168.1.10 -I "http://192.168.1.9/test.jpg"HTTP/1.1 200 OK Server: nginx/1.16.1 Date: Mon, 02 Sep 2019 14:05:36 GMT Content-Type: image/jpeg Content-Length: 27961 Last-Modified: Mon, 02 Sep 2019 13:23:12 GMT Connection: keep-alive ETag: "5d6d17c0-6d39"Accept-Ranges: bytes
如果用户直接在浏览器访问你的图片地址,那么图片显示正常,因为它符合规则。
在图片服务器查看日志:
