CodeIgniter防盗链设置与Nginx配置方法

本文深入剖析了CodeIgniter框架下防盗链失效的根本原因——静态资源（如图片）由Nginx直接响应，完全绕过PHP应用层，因此在CI控制器中判断Referer纯属无效；真正可靠、高性能的防盗链必须在Nginx配置层实现，通过`valid_referers`结合`$invalid_referer`精准拦截非法引用，同时兼顾调试友好性与CDN兼容性；文章还明确划清了Nginx直服（推荐用于公开图片）与CI代理鉴权（仅适用于需动态权限控制、水印或日志的敏感资源）的适用边界，并强调Referer本身极易伪造，必须辅以签名URL、目录隔离、频率限制及CDN原生防盗链等多重手段，才能构建真正健壮的资源保护体系——既避坑又落地，是Web开发者绕不开的实战指南。

为什么直接用 CodeIgniter 自己写防盗链基本没用

CodeIgniter 是 PHP 框架，运行在应用层，而图片请求（比如 /uploads/photo.jpg）通常由 Nginx 直接响应——根本不会走 PHP，也就不会经过 CI 的路由或控制器。所以你在 app/Controllers/Image.php 里加判断、读取 $_SERVER['HTTP_REFERER']，对静态图片完全不起作用。

真正起效的防盗链必须在 Web 服务器层拦截，也就是 Nginx 配置里做。CI 只能管住「通过控制器代理访问」的图片（比如 /image/show/123），但这种方案会吃 CPU、无法缓存、并发一高就卡死，不推荐用于生产环境的主图资源。

Nginx 中针对 uploads 目录做 referer 白名单

假设你的图片放在 public/uploads/，且只允许来自 example.com 和 www.example.com 的页面引用，Nginx 配置要加在对应 server 块里：

location ^~ /uploads/ {
    valid_referers none blocked example.com www.example.com;
    if ($invalid_referer) {
        return 403;
        # 或者重定向到默认占位图：rewrite ^/uploads/.*\.(gif|jpg|jpeg|png)$ /assets/images/forbidden.png break;
    }
    expires 1h;
    add_header Cache-Control "public, immutable";
}

注意几个关键点：

• valid_referers none 允许直接在浏览器地址栏输入 URL 访问（调试时有用），blocked 拦截被篡改或空 Referer 的请求
• 域名不能带 http:// 或 https://，否则不匹配
• if 在 location 块里是安全的，但不要写在 server 级别——Nginx 官方明确警告那会导致不可预知行为
• 如果用了 CDN（比如 Cloudflare），HTTP_REFERER 可能被清空或替换，此时要加 set $bad_referer "0"; + map 方式判断，比单纯 if 更可靠

CI 控制器里代理图片的唯一合理场景

只有当你要动态控制权限（比如用户 A 能看某张图、用户 B 不能）、记录下载日志、或对图片加水印时，才值得走 PHP。这时必须关闭 Nginx 对该路径的直接服务，并在 CI 路由中显式接管：

第一步，在 Nginx 中屏蔽直接访问：

location ^~ /protected/ {
    deny all;
}

第二步，在 CI 中写控制器：

class Image extends BaseController
{
    public function show($id)
    {
        $file = WRITEPATH . 'uploads/' . $id . '.jpg';
        if (! is_file($file) || ! $this->authorizeImageAccess($id)) {
            throw new \CodeIgniter\Exceptions\PageNotFoundException();
        }
        return $this->response->setContentType('image/jpeg')
            ->setHeader('Cache-Control', 'public, max-age=3600')
            ->setBody(file_get_contents($file));
    }
}

这里的关键是：WRITEPATH 必须指向非 Web 可访问目录（如 app/Writable/uploads/），否则绕过控制器直连文件依然能下载。

Referer 判断本身不可靠，别只依赖它

HTTP Referer 可被浏览器禁用、被代理清除、被 curl 手动伪造（curl -H "Referer: https://example.com" https://yoursite.com/uploads/x.jpg）。它只是第一道轻量过滤，不是权限控制。

真要防批量盗链，得组合手段：

• 对公开图片用短时效签名 URL（比如 /uploads/photo.jpg?t=1715823400&s=abc123），后端验证时间戳和哈希
• 敏感图片绝不放 public 目录，全部走带鉴权的控制器代理
• 在 Nginx 层加简单频率限制：limit_req zone=imgburst burst=5 nodelay;，防脚本扫图
• CDN 后台开启「Referer 黑白名单」功能，比自己写 Nginx 规则更稳——尤其当你用的是阿里云 OSS 或腾讯云 COS 时，它们的防盗链配置优先级高于源站 Nginx

最常被忽略的一点：本地开发时 Chrome 默认禁用 Referer，测试防盗链得用 Firefox 或手动开 Chrome 的 --no-referrers 启动参数，否则你以为生效了，上线才发现全放行。

今天关于《CodeIgniter防盗链设置与Nginx配置方法》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于CodeIgniter的内容请关注golang学习网公众号！