PHP防视频盗链的实用技巧

• 获取$_SERVER['HTTP_REFERER']，解析其域名部分
• 比对是否在白名单内（如本站域名）
• 若不匹配，则拒绝访问或返回403错误

$referer = $_SERVER['HTTP_REFERER'] ?? '';
$allowed_domain = 'https://www.yoursite.com';

if (!empty($referer)) {
    $parsed_referer = parse_url($referer, PHP_URL_HOST);
    if ($parsed_referer !== parse_url($allowed_domain, PHP_URL_HOST)) {
        http_response_code(403);
        exit('Access denied');
    }
} else {
    // 无Referer也可能是直接访问，可按需处理
    http_response_code(403);
    exit('Direct access not allowed');
}

• 前端请求播放时，后端生成带token的临时链接
• token可包含时间戳、用户IP、密钥签名等信息
• 访问时验证token有效性，过期或错误则拒绝

// 生成token链接
$expire = time() + 3600; // 1小时有效
$path = '/videos/demo.mp4';
$secret_key = 'your_secret_key';
$token = md5($path . $expire . $_SERVER['REMOTE_ADDR'] . $secret_key);

$url = "/video_proxy.php?file=demo.mp4&expire=$expire&token=$token";

• 视频存储路径如：/protected/videos/
• 使用readfile()或fopen()+fpassthru()输出
• 配合上述验证逻辑，确保只有合法请求才能读取

$video_path = '/protected/videos/' . basename($_GET['file']);

if (file_exists($video_path)) {
    // 验证通过后输出
    header('Content-Type: video/mp4');
    header('Content-Length: ' . filesize($video_path));
    readfile($video_path);
    exit;
}

• 使用缓存（如Redis）记录IP+文件的访问次数
• 设定阈值，如每分钟最多访问3次同一视频
• 超限则返回429或拒绝响应