Nginx怎样实现防盗链

Nginx防盗链实战：从基础配置到高级防护

网站资源被恶意盗链，不仅浪费服务器带宽，还可能带来安全风险。好在Nginx提供了几套相当成熟的解决方案，能帮你把“防盗门”牢牢锁上。今天，我们就来聊聊如何一步步配置，从简单到复杂，全方位守护你的资源。

1. 配置防盗链

防盗链的核心思路很简单：只允许“自己人”访问。Nginx内置的指令就能轻松实现这个目标。

方法一：使用valid_referers指令

这是最常用、最直接的方法。通过valid_referers指令，你可以列出一个“白名单”，只有来自这些指定来源的请求才能访问受保护的资源。如果请求的Referer头不在名单上，Nginx会直接返回一个403 Forbidden状态码，把盗链请求拒之门外。

server {
    listen 80;
    server_name example.com;

    location /protected/ {
        valid_referers none blocked server_names example.com www.example.com;
        if ($invalid_referer) {
            return 403 "Forbidden";
        }
        # 其他配置...
    }
}

看这段配置：valid_referers后面定义了允许的来源，包括直接访问（none）、被防火墙标记的请求（blocked）以及你自己的域名。一旦$invalid_referer变量为真，拦截就生效了。

方法二：使用ngx_http_referer_module模块

如果你需要更精细的控制，Nginx的ngx_http_referer_module模块提供了另一种语法。它的逻辑和第一种方法类似，但写法上略有不同，适合在某些特定配置风格下使用。

server {
    listen 80;
    server_name example.com;

    location /protected/ {
        referer http://example.com http://www.example.com;
        if ($invalid_referer) {
            return 403 "Forbidden";
        }
        # 其他配置...
    }
}

2. 配置缓存控制

你以为配置了Referer检查就万无一失了吗？这里有个常见的漏洞：浏览器或中间缓存。如果资源被缓存了，后续请求可能根本不携带Referer头，从而绕过检查。所以，必须斩断缓存这条后路。

解决方案是给受保护的资源加上严格的缓存控制头，告诉浏览器和所有中间节点“不要缓存这个”。

location /protected/ {
    valid_referers none blocked server_names example.com www.example.com;
    if ($invalid_referer) {
        return 403 "Forbidden";
    }
    add_header Cache-Control "no-cache, no-store, must-revalidate";
    add_header Pragma "no-cache";
    add_header Expires "0";
    # 其他配置...
}

这几行add_header指令组合拳打下来，基本上就能确保每次请求都会乖乖地回源验证，让防盗链策略持续生效。

3. 使用签名URL

对于静态资源，上述方法够用了。但如果你的内容是动态生成的，或者需要有时效性的临时访问权限呢？这时候，基于Referer的检查就显得力不从心了。更高级的玩法是：签名URL。

简单来说，就是给合法的访问链接加上一个由密钥生成的“签名”和“过期时间”。服务器在收到请求时，先验签和检查时效，通不过的一律拦截。Nginx本身不直接支持签名计算，但可以借助其他模块作为“裁判”。

使用第三方模块（如ngx_http_auth_request_module）

ngx_http_auth_request_module模块是个“万能中介”，它允许Nginx将一个子请求发送到指定的认证服务去做判断。我们可以利用它来实现签名验证。

location /protected/ {
    auth_request /auth;
    # 其他配置...
}

location = /auth {
    internal;
    proxy_pass http://auth-server/validate;
    proxy_pass_request_body off;
    proxy_set_header Content-Length "";
    proxy_set_header X-Original-URI $request_uri;
}

这个配置的精髓在于auth_request指令。当有请求访问/protected/时，Nginx会先内部发起一个到/auth的请求。/auth这个位置块则将验证工作（比如检查URL中的签名和过期时间）袋里给后端的auth-server。只有认证服务返回成功，原始请求才能继续。

至于签名验证的逻辑，就需要你在auth-server这个后端服务里自己实现了，比如用HMAC算法验证参数是否被篡改。

4. 监控和日志

配置好了，不代表可以高枕无忧。你需要知道它是否在正常工作，以及谁在尝试攻击。因此，开启详细的访问日志至关重要。

http {
    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                    '$status $body_bytes_sent "$http_referer" '
                    '"$http_user_agent" "$http_x_forwarded_for"';
    access_log /var/log/nginx/access.log main;
    error_log /var/log/nginx/error.log debug;
}

在这个日志格式里，重点关注$http_referer字段。通过分析日志，你可以清晰地看到哪些请求因为Referer不合法被拦截（状态码403），从而了解防盗链策略的效果和潜在的盗链来源。

说到底，防盗链是一个从基础到进阶的防御体系。从简单的Referer检查，到配合缓存控制堵住漏洞，再到用签名URL应对动态和高安全场景，最后辅以日志监控。把这几个步骤都做到位，你的资源安全防线就足够坚固了。