Nginx如何配置实现防盗链功能

在Nginx中配置防盗链功能

在网站运维中，资源被其他站点随意盗用是个常见又头疼的问题。好在Nginx提供了一个相当实用的功能——通过检查HTTP请求头中的Referer字段来实现防盗链。这就像给自家资源装上了一道“门禁”，只允许来自信任来源的访问。

下面，咱们就一步步来看看如何配置这个功能。

配置步骤详解

首先，找到Nginx的配置文件。它通常位于/etc/nginx/nginx.conf，或者也可能在/etc/nginx/conf.d/default.conf这样的目录下。用你熟悉的编辑器打开它。

接下来，在对应的server块里，加入防盗链的核心规则。一个典型的配置示例如下：

server {
    listen 80;
    server_name example.com; # 替换为你的域名

    location / {
        valid_referers none blocked server_names ~\.example\.com$; # 允许的Referer
        if ($invalid_referer) {
            return 403; # 如果Referer无效，返回403 Forbidden
        }
        # 其他配置，如root、index等
        root /var/www/html;
        index index.html index.htm;
    }
}

这段配置里，有几个关键点需要理解：

• valid_referers这个指令，就是用来定义“白名单”的。none代表直接访问（没有Referer）的情况，blocked处理那些被防火墙或袋里修改过的Referer，server_names则允许你列出信任的域名，最后的~\.example\.com$是一个正则表达式，表示所有以.example.com结尾的域名都算“自己人”。
• 紧接着的if ($invalid_referer)判断是执行拦截的关键。一旦请求的Referer不在上述白名单内，Nginx就会直接返回一个403 Forbidden状态码，拒绝访问。

配置完成后，别忘了让Nginx重新加载配置，使改动生效。执行下面这条命令就行：

sudo nginx -s reload

这样一来，你的Nginx服务器就会对每一个请求进行“盘查”，只有携带了合法“介绍信”（Referer）的请求才能拿到资源，否则一律拒之门外。

一点重要的提醒

话说回来，必须指出的是，基于Referer的防盗链并非铜墙铁壁。因为HTTP请求头在传输过程中是可以被伪造的，技术上有一定手段可以绕过。所以，如果你的资源价值极高，或者对安全性有更严格的要求，那么可能需要考虑更进阶的方案，比如结合签名验证、动态Token验证等技术，构建多层次的防护体系。

不过，对于绝大多数日常场景，这套基于Referer的配置已经足够有效，能帮你挡掉大部分非法的盗链请求了。