PHP防盗链：Referer检测与重定向技巧

本文深入探讨了PHP中防止图片盗链的核心策略与实践陷阱，指出仅依赖不可靠的`$_SERVER['HTTP_REFERER']`进行来源判断存在严重局限——易被伪造、HTTPS跳转清空、隐私模式丢失等场景频发，因此必须结合`filter_var`校验、`parse_url`精准提取host并统一小写比对，或更高效地在Apache的`.htaccess`中通过`RewriteCond`提前拦截；同时剖析了常见配置错误（如遗漏空referer判断、正则末尾斜杠缺失、大小写敏感）、性能隐患（PHP层处理静态资源拖慢响应）及失效边界（直接访问、CDN剥离、WebView异常、二次上传盗链），并给出兼顾安全性、兼容性与性能的分层防护建议：静态规则优先、动态逻辑按需介入、关键场景辅以水印或签名URL等增强手段。

怎么用 $_SERVER['HTTP_REFERER'] 判断请求来源

直接读 $_SERVER['HTTP_REFERER'] 是最常用方式，但它不可靠——浏览器可伪造、HTTPS 页面跳转到 HTTP 时可能被清空、某些隐私模式或移动端也会丢掉。别把它当安全边界，只适合做轻量级过滤。

实操建议：

• 始终用 filter_var($referer, FILTER_VALIDATE_URL) 做基础校验，避免空值或恶意字符串引发 Notice
• 匹配域名时用 parse_url($referer, PHP_URL_HOST) 提取 host，别直接 strpos 匹配完整 URL（容易绕过）
• 注意大小写：部分代理会把 host 转成小写，建议统一用 strtolower() 处理后再比对
• 如果站点支持 www 和非 www 两个入口，得同时检查 example.com 和 www.example.com

Apache .htaccess 里用 RewriteCond 拦图片请求

比 PHP 层拦截更早、更省资源，适合静态资源防护。核心是判断 %{HTTP_REFERER} 是否为空或不匹配白名单。

常见错误现象：403 Forbidden 错误没出现，但图片显示为“禁止访问”图标——多半是正则写错或没加 [NC] 忽略大小写。

示例配置（放在网站根目录 .htaccess）：

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https?://(www\.)?yourdomain\.com/ [NC]
RewriteRule \.(jpg|jpeg|png|gif|webp)$ - [F]

• [F] 返回 403，比重定向更干脆；若想返回默认占位图，改用 RewriteRule \.(...)$ /placeholder.png [L]
• 务必加 !^$ 条件，否则直接在地址栏输图片 URL 会被放过（此时 referer 为空）
• 正则末尾的 / 很关键，不加会导致子域名（如 api.yourdomain.com）也被允许

PHP 中 redirect 到防盗链图片或返回 403

适合需要动态逻辑的场景，比如按用户权限放行、记录盗链日志、或返回不同占位图。

注意性能影响：每次图片请求都进 PHP，比纯静态规则慢；并发高时容易拖垮 FPM 进程。

• 用 header('HTTP/1.1 403 Forbidden') + exit 终止，别只 echo 一段文字（浏览器可能仍尝试渲染）
• 若要重定向到一张默认图，用 header('Location: /img/deny.png')，并确保该路径本身不触发防盗链逻辑（否则死循环）
• 不要在重定向前输出任何内容（包括空格、BOM），否则报 Cannot modify header information
• 推荐先检查文件是否存在再处理，避免 file_exists() 对不存在路径反复调用拖慢响应

Referer 检测失效的典型场景和补救

不是所有“盗链失败”都是代码问题。很多情况下是 referer 根本没发过来，检测自然失效。

• 从 HTTPS 页面链接到 HTTP 图片：现代浏览器会主动清空 referer，导致 $_SERVER['HTTP_REFERER'] 为空
• 用户点击书签或直接输入图片 URL：referer 永远为空，这类流量必须靠其他手段识别（如频率限制、User-Agent 分析）
• 某些 CDN 或反向代理会剥离 referer，需检查 Nginx/Apache 的 proxy_set_header 配置是否透传了 Referer
• 移动端 WebView、微信内嵌浏览器行为不一致，有些版本会截断 referer，建议配合 UA 特征做辅助判断

真正难防的是那种把图片下载后上传到自己服务器再引用的情况——referer 检测完全无效，这时候只能靠水印、分片加载、或服务端动态生成带签名的临时 URL。

以上就是《PHP防盗链：Referer检测与重定向技巧》的详细内容，更多关于的资料请关注golang学习网公众号！