宝塔面板防盗链设置方法详解

宝塔面板的防盗链功能远非简单勾选即可生效，其真正起效依赖于Nginx配置重载、CDN透传Referer头（并同步配置白名单）、允许空Referer等关键细节的协同配合；若忽略任一环节——如未点击“重载配置”、CDN未开启Referer透传、或未在server块中手动添加可靠的valid_referers规则——防盗链将形同虚设，盗链仍可畅通无阻，而你自己网站的图片甚至可能因Referer为空而无法加载；唯有通过日志验证$http_referer值、确保Nginx规则与CDN策略严格对齐，才能实现真正有效的资源保护。

宝塔面板开启防盗链，本质就是让 Nginx 拒绝非白名单 Referer 的静态资源请求；但直接勾选“启用防盗链”可能失效——因为底层没生效或 CDN 拦截了 Referer 头。

宝塔面板防盗链开关为什么点了没用

常见现象：勾选了“启用防盗链”，填了 jpg,png 和 yourdomain.com，保存后用其他网站引用图片仍能正常显示。

• 没重载 Nginx 配置：勾选保存后必须点右上角的 重载配置（不是“保存”按钮本身）
• CDN 层未透传 Referer：如果用了 Cloudflare、阿里云 CDN 等，它们默认不转发原始 Referer，宝塔收不到真实值，校验永远通过
• 浏览器直接访问 URL 时 Referer 为空，但你没勾选 允许空HTTP_REFERER请求，导致自己网站首页图片也加载失败

Nginx 配置块中手动加 valid_referers 更可靠

宝塔图形界面生成的规则有时过于简略，比如不支持正则、无法排除后台路径。直接编辑站点配置文件更可控。

• 进入站点设置 → 配置文件 → 在 server 块内找到或新增一个 location 块，例如：

  location ~* \.(jpg|jpeg|png|gif|webp|css|js)$ {

• 在该块内插入标准 Referer 校验逻辑：

  valid_referers none blocked *.yourdomain.com yourdomain.com;<br>if ($invalid_referer) {<br>    return 403;<br>}

• none 允许直接输入地址访问（如用户收藏图片链接），blocked 允许被代理/隐私模式清空协议的 Referer
• 注意：Nginx 不允许在 if 中使用 rewrite + break 以外的跳转，想返回默认图请用 return 302 /security.png 或配合 error_page 403 = /security.png

CDN 场景下 Referer 校验必然失效的真相

CDN 节点发起回源请求时，Referer 是 CDN 自己的域名（如 cdn.aliyuncs.com），不是用户浏览器的真实来源——所以宝塔看到的永远是“合法”Referer。

• 解决办法只有两个：在 CDN 控制台同步配置 Referer 白名单，并开启“透传 Referer 头”（阿里云叫“跟随源站”，Cloudflare 叫 “Origin Header”）
• CDN 端配置优先级高于宝塔，若 CDN 已拦截，宝塔规则根本不会触发
• 验证是否透传成功：在宝塔日志里查 $http_referer 字段，看它是否等于真实来源域名，而不是 CDN 域名

真正起作用的防盗链，从来不是单点勾选，而是 Nginx 规则 + CDN 配置 + 日志验证三者对齐。最容易被忽略的是：你以为封掉了盗链，其实只是没看清日志里 $invalid_referer 始终为 0。

到这里，我们也就讲完了《宝塔面板防盗链设置方法详解》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！