如何用Nginx实现防盗链

使用Nginx实现防盗链：守护你的网站资源

在网站运营中，你是否遇到过这种情况：自己服务器上的图片、文件，不知不觉就被其他网站直接引用了？这不仅白白消耗你的带宽和服务器资源，有时还可能带来版权风险。好在，Nginx提供了强大的防盗链功能，能有效解决这个问题。下面，我们就来一步步看看如何配置。

1. 安装Nginx

如果系统里还没有Nginx，安装是第一步。以Ubuntu系统为例，过程非常直接。打开终端，依次执行以下命令即可：

sudo apt update
sudo apt install nginx

当然，不同操作系统的安装方式略有差异，最稳妥的办法还是参考Nginx的官方文档。

2. 配置防盗链

安装完成后，核心工作就是修改配置文件。配置文件通常位于 /etc/nginx/nginx.conf 或站点配置文件如 /etc/nginx/sites-a vailable/default。用你熟悉的文本编辑器打开它。

示例配置

假设你的网站域名是 example.com，并且有一个存放图片的目录 /var/www/html/images。我们的目标是，只允许来自自己域名的请求访问这些图片。

server {
    listen 80;
    server_name example.com;

    location /images/ {
        valid_referers none blocked server_names example.com www.example.com;
        if ($invalid_referer) {
            return 403;
        }
        root /var/www/html;
    }

    location / {
        root /var/www/html;
    }
}

解释

这段配置的关键在于 location /images/ 块里的那几行：

• valid_referers none blocked server_names example.com www.example.com;：这行定义了“白名单”。server_names 后面跟着允许的域名（这里是你自己的 example.com 和 www.example.com）。none 表示请求头中没有Referer信息的情况（比如直接在浏览器地址栏输入），blocked 则处理那些被防火墙或袋里修改过、值不以 http:// 或 https:// 开头的Referer。
• if ($invalid_referer) { return 403; }：这是执行拦截的规则。如果请求的Referer不在上面定义的“白名单”内，变量 $invalid_referer 的值就为“1”，Nginx便会直接返回403（禁止访问）状态码。
• root /var/www/html;：指定了资源所在的根目录路径。

这样一来，只有从你自己网站页面发起的图片请求才能顺利拿到资源，其他来源的“盗链”请求都会被无情地拒之门外。

3. 测试配置

修改完配置文件，先别急着重启服务。一个良好的习惯是，先测试一下配置语法是否正确，避免因为一个小错误导致整个Nginx服务瘫痪。运行下面的命令：

sudo nginx -t

如果终端显示“syntax is ok”和“test is successful”，恭喜你，配置语法没问题。接下来，就可以安全地重新加载Nginx，让新配置生效了：

sudo systemctl reload nginx

4. 验证防盗链

配置是否真的起作用了？验证方法很简单。你可以尝试在另一个不同的域名下，通过 这样的方式引用你的图片。如果防盗链配置生效，你将看到的不是一个图片，而是一个“403 Forbidden”的错误页面。在自己的网站上访问，则一切正常。这种“内外有别”的效果，正是我们想要的。

5. 进一步优化

基础的防盗链已经实现，但根据实际需求，你还可以玩出更多花样：

• 细化验证规则：valid_referers 指令支持更灵活的匹配，比如使用正则表达式，允许来自某个特定合作伙伴域名的请求。
• 分类型保护：除了图片，你还可以为CSS、Ja vaScript、视频等不同类型的静态资源，设置不同的 location 规则和防盗链策略。
• 增强功能：如果内置指令不能满足需求，可以考虑使用第三方Nginx模块，或者结合一些云服务/CDN提供的更高级的防盗链、签名URL功能。

通过以上几个步骤，一套有效的Nginx防盗链屏障就建立起来了。它能显著减少不必要的资源盗用，保护你的服务器带宽，让网站资源只为真正的用户服务。