防盗链

(1)保护带宽：当其他网站直接链接到你的网站资源时，会消耗你网站的带宽。防盗链可以有效防止这种带宽被滥用的情况。

(2)防止盗用内容：防盗链还能防止你的内容被其他网站直接引用，从而保护原创内容不被未经许可的传播。

(3)提升安全性：通过防盗链技术，可以减少你的网站资源被用于钓鱼或其它恶意活动的风险。

① Apache服务器：可以在 .htaccess 文件中添加防盗链的配置。例如： RewriteEngine on RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^https://www.yoursite.com/.*$ [NC] RewriteRule \.(jpg|jpeg|png|gif)$ - [F,NC]

② Nginx服务器：可以在 Nginx 配置文件中添加规则。例如： location ~* \.(jpg|jpeg|png|gif)$ {     valid_referers none blocked yoursite.com *.yoursite.com;     if ($invalid_referer) {         return 403;     } }

这是最常见的防盗链方法，通过检查请求的 Referer 头部，确保资源请求来源是允许的域名。 示例配置： server {     listen 80;     server_name yourdomain.com;     location /protected/ {         valid_referers none blocked yourdomain.com *.yourdomain.com;                  if ($invalid_referer) {             return 403;         }     } } 解析： valid_referers none blocked yourdomain.com *.yourdomain.com;：定义了有效的 Referer 域名列表； 检查 $invalid_referer 变量，如果存在无效的 Referer，则返回 403 Forbidden。

通过定义允许访问资源的 IP 地址范围或者拒绝某些 IP 地址，从而实现访问控制。 示例配置： http {     geo $allow_ip {         default 0;         192.168.1.0/24 1;         10.0.0.0/8 1;     }     server {         listen 80;         server_name yourdomain.com;         location /protected/ {             if ($allow_ip = 0) {                 return 403;             }         }     } } 解析： geo $allow_ip { ... }：定义了一个变量 $allow_ip，根据 IP 地址设置其值； 在 location 块内，检查 $allow_ip 的值，如果为 0 则拒绝访问。

可以基于请求头中的 User-Agent 或其他自定义头进行防盗链保护。虽然这种方法偶尔用到，但通常不是主要的防盗链手段，因为它相对容易被伪造。 示例配置： server {     listen 80;     server_name yourdomain.com;     location /protected/ {         if ($http_user_agent ~* "(curl|wget|python)") {             return 403;         }     } } 解析： if ($http_user_agent ~* "(curl|wget|python)"): 判断请求头部的 User-Agent 字段是否匹配特定的模式，如果匹配则返回 403 Forbidden。

通过重写或重定向非法请求到特定的页面或错误提示来实现防盗链，这种方法通常与其他方法结合使用。 示例配置： server {     listen 80;     server_name yourdomain.com;     location /protected/ {         valid_referers none blocked yourdomain.com *.yourdomain.com;                  if ($invalid_referer) {             rewrite ^/ http://yourdomain.com/no_hotlinking.jpg;         }     } } 解析： 如果 Referer 无效，重定向到一个提示图片或页面 no_hotlinking.jpg。

通过生成唯一的、动态的 Token 或 Cookie 来认证合法的请求。这种方法较为复杂，但也更安全，适用于较为敏感或高价值的资源。 示例配置： 这个方案需要在应用服务器生成 Token 或 Cookie，并在 Nginx 中进行验证。下面是一个简单的示例： 应用服务器生成 Token（例如使用 JWT 或自定义算法），用户请求时需要携带此 Token。 Nginx 验证 Token： server {     listen 80;     server_name yourdomain.com;     location /protected/ {         set $token $cookie_my_token;                  if ($token != "<expected_token>") {             return 403;         }     } } 解析： set $token $cookie_my_token;：从 Cookie 中获取 Token； 验证 Token，不匹配则返回 403 Forbidden。

除了内置功能，Nginx 也可以通过第三方模块如 ngx_http_secure_link_module 来实现更复杂的防盗链。 基于 ngx_http_secure_link_module 的配置示例： http {     secure_link_secret your_secret_key;          server {         listen 80;         server_name yourdomain.com;         location /protected/ {             secure_link $arg_st,$arg_e;             secure_link_md5 "$secure_link_expires$uri$remote_addr your_secret_key";                          if ($secure_link = "") {                 return 403;             }                          if ($secure_link = "0") {                 return 410;             }         }     } } 解析： secure_link_secret：设置加密密钥； 生成并验证链接的有效性和到期时间。

语法格式如下： geo $variable {     default value;     IP_address_1 value_1;     IP_address_2 value_2;     ... }

$variable：这里定义的是一个变量名称，用于存储按地理位置或 IP 地址判断的结果。 default value：指定一个默认值，当请求的 IP 地址未匹配到指定的 IP 范围时使用该默认值。 IP_address value：指定具体的 IP 地址或 CIDR 范围与对应的值。

http {     # 定义变量 $allow_ip，根据客户端IP地址进行访问控制     geo $allow_ip {         default 0;                # 设置默认值为0，表示拒绝访问         192.168.1.0/24 1;         # 允许 192.168.1.0 到 192.168.1.255 的IP范围         10.0.0.0/8 1;             # 允许 10.0.0.0 到 10.255.255.255 的IP范围         172.16.0.0/12 1;          # 允许 172.16.0.0 到 172.31.255.255 的IP范围         203.0.113.1 1;            # 允许特定的单个 IP 地址 203.0.113.1     }     server {         listen 80;         server_name example.com;         location / {             # 如果 $allow_ip 变量的值为0，则返回403 Forbidden             if ($allow_ip = 0) {                 return 403;             }             # 其他处理请求的配置，例如静态文件等             root /var/www/html;             index index.html index.htm;         }     } }

请求处理流程 客户端连接到服务器：当客户端尝试连接到 Nginx 服务器时，Nginx 会获取客户端的 IP 地址。 设置 $allow_ip 变量：Nginx 根据 geo 块的配置，检查客户端 IP 地址是否在指定范围内。如果在范围内，则 $allow_ip 变量被设置为相应的值（在上述示例中，被允许的 IP 地址范围设置为1，否则为0）。

处理请求： 使用 if 条件判断：请求进入 location 块时，检查 $allow_ip 的值。如果值等于0（表示拒绝的IP地址或IP范围），则返回403 Forbidden 响应码。 否则，一切正常，继续处理请求。

IP 地址和子网掩码 单个 IP 地址如 203.0.113.1：配置中直接将访问请求的 IP 地址和配置项进行匹配。 子网掩码如 192.168.1.0/24：这是一个 CIDR 表示法，表示从 192.168.1.0 至 192.168.1.255 的所有 IP 地址。 默认值 default：任何未匹配到的 IP 地址将会使用这个默认值。

访问控制：限制或允许特定 IP 地址或 IP 范围来访问敏感资源。 负载均衡：结合其他模块或配置，实现基于地理位置的流量分配。 性能优化：减少不必要的流量，将潜在的恶意流量立即拒绝，减轻服务器负载。