现在流行前后端分离开发的情况下,一般我们都会将静态资源放在nginx的html目录下。这种情况下,我们就无法通过Java代码写拦截器来防盗链了。所以这里我们来说明一下如何使用nginx来配置防盗链。
1.我们先修改本地hosts文件,将 www.czx.com 映射到 127.0.0.1。
2.在html文件夹下放一张图片,图片名就叫123.jpg
然后修改nginx的html文件夹下的index.html,在里面添加标签
<img src="http://www.czx.com/123.jpg" />
3.打开nginx.conf配置文件,添加以下配置
server {
listen 80;
#表示监听的url,如果收到这个url的请求,就会进行反向代理
server_name www.czx.com;
# 括号里面是要保护的资源类型
location ~* \.(gif|jpg|jpeg|png)$ {
# 配置可以合法的refer,在这里配置加入白名单的请求 refer 域名。
valid_referers blocked www.czx.com http://www.czx.com;
if ($invalid_referer) {
return 403; #返回403错误代码
}
}
location / {
root html;
index index.html index.htm;
}
}
我们首先要知道http请求头中是有一个Referer的属性,它代表了这个http请求的来源。比如我们打开百度首页,浏览器会向服务端发送http请求来获取首页图片,这些http请求中往往都会带有Referer,而此时的Referer属性正是https://www.baidu.com/,表示这个请求是来自https://www.baidu.com/。
在了解了以上知识点后我们再来讲解valid_referers
。valid_referers
节点表示合法的请求来源(Referer),如果请求来源合法,即 Referer 能够与valid_referers
后面任一参数所匹配,那么这个请求就会被放行。
valid_referers可以配置多种属性,一般会有以下几种
- blocked:Referer 来源不为空,但是里面的值被代理或者防火墙删除了
- none:代表请求的 Referer 为空,也就是直接访问,比如在浏览器中直接访问图片 www.czx.com/123.jpg,直接访问时,Referer 会为空。这里我没有加上none,也就表示直接访问是非法的。
- server_names:Referer 来源包含当前的 server_names,即所有 server 节点的 server_name 的值,如果配置了 server_names,那么这些值都会是合法来源。
- 字符串:直接定义合法的域名,比如我定义了 www.czx.com 和 http://www.czx.com,Referer是这两个域名的话就会是合法来源。
- 正则表达式:通过正则表达式来定义合法的请求来源。
4.保存配置然后启动nginx,我们先直接访问www.czx.com/123.jpg
图片无法直接访问。
我们访问www.czx.com
图片可以被正常访问到。
这里有个值得注意的点是,访问过www.czx.com之后,再去访问www.czx.com/123.jpg就可以打开图片了,这是因为浏览器中有缓存,并非nginx防盗链失效了,只要把浏览器中的缓存清除掉,www.czx.com/123.jpg就依然返回403状态码。
PS:这种防盗链的方法原理是通过判断http请求头中的Referer
属性是否与配置中的设定允许,如果允许就放行,如果不允许就返回403状态码。但是这种方式只是防君子不防小人,一些爬虫软件依然可以伪造假的Referer
来爬取资源。