PHP防止视频盗链方法详解

本文深入剖析了PHP环境下防止视频盗链的多重防护策略，强调仅依赖不可靠的`$_SERVER['HTTP_REFERER']`检查远远不够，必须结合一次性签名URL（含时效性HMAC校验）、PHP流式输出控制（禁用缓存、安全响应头、分块传输）、Web服务器层严格拦截（Nginx `internal`指令或Apache重写+文件禁止）以及CDN缓存规避等手段，构建纵深防御体系；所有环节——签名密钥保密性、路径别名映射、HLS全链路鉴权、配置同步更新——缺一不可，真正实现从源头阻断盗链，保障视频资源安全。

判断 $_SERVER['HTTP_REFERER'] 是否可信

Referer 检查是最常用也最容易被绕过的手段，但仍是第一道防线。PHP 脚本在输出视频前应校验请求来源是否在白名单内。

注意：$_SERVER['HTTP_REFERER'] 可被客户端随意伪造，且部分浏览器或隐私插件会主动清空该字段（尤其 HTTPS → HTTP 跳转时），所以不能单独依赖它做最终授权。

• 只对静态资源（如 .mp4、.m3u8）的直链访问做 Referer 检查，不用于登录态或 API 鉴权
• 白名单建议用 parse_url() 提取 host 后比对，避免子域名误判（例如允许 example.com 但拒绝 evil.example.com）
• 若主站启用了 CSP 或 Referrer-Policy: no-referrer-when-downgrade，需预留 fallback 逻辑（如配合 token）

用一次性签名 URL 替代固定链接

核心思路是让每个视频 URL 带有时效性签名，过期即失效，从根本上杜绝长期盗链。

签名逻辑示例：拼接「资源路径 + 过期时间戳 + 密钥」后做 HMAC-SHA256，再将签名和过期时间作为查询参数附加到 URL 上。服务端收到请求时重新计算并校验。

function generateVideoUrl($path, $expires = 300) {
    $secret = 'your_secret_key_here';
    $expire_ts = time() + $expires;
    $signature = hash_hmac('sha256', $path . '|' . $expire_ts, $secret);
    return "/video.php?file={$path}&exp={$expire_ts}&sig={$signature}";
}

• 务必校验 $_GET['exp'] 是否未过期，且 $_GET['sig'] 与当前参数重算结果一致
• 不要在 URL 中暴露原始文件系统路径，$path 应为预设的合法别名（如 demo_2024），映射到真实路径由服务端控制
• 签名密钥必须严格保密，不可硬编码在前端或 Git 历史中

通过 PHP 输出视频流并设置响应头

不直接暴露视频文件物理路径，而是用 PHP 脚本读取、分片输出，并控制 HTTP 头防止缓存和跨域滥用。

关键点在于：禁用代理缓存、限制 MIME 类型、关闭 ETag、强制 Content-Disposition 为 inline（避免下载劫持）。

• 使用 fopen() + fread() 分块读取，避免大文件内存溢出；配合 ob_flush() 和 flush() 实现流式传输
• 必须设置 header('Cache-Control: no-store, no-cache, must-revalidate, max-age=0')，否则 CDN 或浏览器可能缓存原始响应
• 对于 HLS 流（.m3u8 + .ts），需确保每个分片请求也都经过相同鉴权逻辑，不能只保护主 m3u8 文件

Web 服务器层配合（Nginx / Apache）

PHP 层逻辑再严密，若 Web 服务器直接暴露静态文件目录，所有防护都会失效。必须切断绕过 PHP 的直连路径。

Nginx 示例：把所有 /video/ 下请求转发给 video.php，禁止直接访问 .mp4 等扩展名。

location ^~ /video/ {
    deny all;
}
location ~* \.(mp4|webm|ogg|m3u8|ts)$ {
    deny all;
}
location /video.php {
    internal;
    alias /var/www/app/video.php;
}

• internal; 是关键——它让该 location 只能被 Nginx 内部重定向访问（如 rewrite ... last 或 error_page），外部无法直接请求
• Apache 需用 mod_rewrite + RewriteRule 将视频请求重写到 PHP 脚本，并在 .htaccess 中用 FilesMatch 禁止直接访问媒体文件
• CDN 用户要注意：部分 CDN 会忽略 PHP 的 header 设置，需在 CDN 控制台手动关闭“自动缓存静态类型”或配置缓存规则排除 /video.php

签名有效期、Referer 白名单更新机制、以及 Web 服务器配置三者必须同步生效，漏掉任意一环都可能让防护形同虚设。

今天关于《PHP防止视频盗链方法详解》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！