LinuxNginx防盗链设置教程

本文深入解析了Nginx防盗链的核心实践，明确指出`valid_referers`配合`$invalid_referer`与`return 403`是开箱即用、最常用且可靠的静态资源基础防护方案——它原生支持、配置简洁、语义清晰，但需清醒认知其局限：无法抵御Referer伪造，仅适用于带宽节省和版权初级保护；同时详述了典型误用陷阱（如作用域错误、域名格式疏漏、混淆`none`与`blocked`含义）、更优的403响应实践（避免`rewrite`引发的日志失真与循环问题）、进阶方案`secure_link`的适用边界（需编译支持、适合有时效性与签名要求的私有资源），并强调真实验证必须通过多场景curl测试和浏览器实测，而非仅依赖语法检查，助你避开坑、配得准、防得住。

直接说结论：Nginx 防盗链最常用、最可靠的方式是用 valid_referers + $invalid_referer 配合 if 和 return，但必须清楚它防不住伪造 Referer，仅适合对带宽和版权有基础防护需求的静态资源。

为什么 valid_referers 是首选配置方式

因为它是 Nginx 官方模块 ngx_http_referer_module 提供的原生能力，无需额外编译，所有主流发行版开箱即用。它的逻辑简单明确：检查请求头里的 Referer 字段是否落在白名单内，不匹配就触发 $invalid_referer 变量为真。

常见误用点：

• 把 valid_referers 放在 http 块顶层 —— 它只在 server 或 location 块里生效
• 域名漏写协议前缀或结尾斜杠 —— 实际匹配不看 http://，只比对字符串，example.com 和 www.example.com 是两个独立条目
• 忽略 none 和 blocked 的实际含义 —— none 允许直接浏览器访问（如收藏夹打开），blocked 允许被代理/防火墙清空 Referer 的请求（比如某些企业网关）

典型配置片段：

location ~* \.(jpg|jpeg|png|gif|webp|svg)$ {
    valid_referers none blocked example.com *.example.com;
    if ($invalid_referer) {
        return 403;
    }
    expires 7d;
}

if 在 location 里用 return 403 还是 rewrite 到默认图

返回 403 是最干净的做法，HTTP 语义清晰，客户端（尤其是爬虫或 CDN）会明确知道“禁止访问”。而用 rewrite 跳转到一张默认图（比如 rewrite ^/ /static/forbidden.png break;），容易引发两个问题：

• 如果图片路径本身带查询参数（如 /img/logo.png?v=2），rewrite 默认不携带参数，导致默认图加载失败
• 返回状态码仍是 200，不利于监控识别盗链流量；日志里全是 200，掩盖了真实拦截行为
• 若该默认图也放在同一 location 下，可能触发循环匹配（除非加 last 或精确匹配排除）

真要换图，推荐用 error_page 403 =200 /static/forbidden.png;，既保持语义正确，又避免重写逻辑干扰。

什么时候该考虑 secure_link 模块

当你需要真正防伪造、有时效性、且能控制单个链接生命周期时，secure_link 才值得上。它依赖 URL 中携带签名（如 /file.zip?md5=abc123&expires=1743728400），服务端用预设密钥重新计算哈希并校验时间戳。

但它有硬性前提：

• 编译 Nginx 时必须启用 --with-http_secure_link_module，Ubuntu/Debian 官方包默认不带，CentOS Stream 8+ 也不含，得自己重编或换 OpenResty
• 前端生成链接需同步实现签名逻辑（PHP/Python/Node.js 都有对应库），运维无法只靠配置搞定
• 不适用于公开图片资源（比如博客文章里的插图），只适合下载页、会员资源、临时分享链接等可控场景

简单验证是否可用：nginx -V 2>&1 | grep secure_link，没输出就说明模块未启用。

测试防盗链配置是否生效的关键动作

别只信 nginx -t 语法正确 —— 它完全不校验 valid_referers 规则是否写错。真实验证必须做三件事：

• 用 curl -H "Referer: https://baidu.com" https://yourdomain.com/test.jpg 看是否返回 403
• 用 curl -H "Referer:" https://yourdomain.com/test.jpg（空 Referer）看是否 200（匹配 none）
• 在另一个域名的 HTML 里放 ，用浏览器开发者工具 Network 面板确认请求头 Referer 值，并观察响应状态码

最容易被忽略的是：Chrome 等现代浏览器在从 HTTPS 页面加载 HTTP 图片时会自动清空 Referer（Referrer Policy），这种“看似盗链实则合法”的情况，blocked 就是为此设计的，别急着删掉它。

以上就是《LinuxNginx防盗链设置教程》的详细内容，更多关于的资料请关注golang学习网公众号！