nginx(四十九)使用referer模块和secure_link模块提供变量防盗链

已于 2023-05-18 21:55:59 修改
阅读量1.9k 收藏 2
点赞数 1
分类专栏: nginx 文章标签: nginx 运维
于 2022-11-16 23:51:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzj_110/article/details/127891773
版权

一  referer模块

小结: referer模块可以'进行防盗链',但这种防盗链方式比较'脆弱',可以通过'伪造值'来绕过防盗链

Referer请求头    Referrer-Policy响应头

默认:浏览器会在'特定场景'的跳转自动添加Referer请求头

备注:其它如'curl、postman'方式不会主动添加,但是可以'伪造'Referer请求头

二  secure_link模块

①   概述

类比: 这个的原理是生成一个'下载的 token',用户访问的时候 nginx 来'验证这个 token'

场景: 检查'请求链接的权限(access)'以及'是否过期',多用于'下载服务器'防盗链

②   secure_link

语法: secure_link md5_hash[,expiration_time]

细节: 'expiration_time'是可选的

1)使用secure_link定义一段'包含了变量的字符串',从中获取'校验和的值'和'url链接的生命周期'

细节点:'变量'常见来自'查询参数(arg_name)'或'请求头(http_head)'

2)字符串中的'校验和的值'会和'secure_link_md5'中的指定参数的'md5 哈希值'进行对比

3)如果两个值不一致,$secure_link变量值会被'设置为空串'

4)如果一致,才会检查'链接的生命周期'

  [1]、如果链接'设置有'时效性,检查发现'过期',$secure_link变量值为'0'

  [2]、'没有'过期,$secure_link变量值则为'1'

  [3]、如果'没有设置过期时间',则链接'永久'有效

重点: 先检查'md5 hash'是否匹配、再检查'life_time'是否过期

③   secure_link_md5

④  方式一

1)'secure_link' + 'secure_link_md5' 指令配合

2)用$secure_link'检验'结果

$secure_link的返回值规则:验证不通过是'空'、过期是'0'、通过是'1'

 (1) 官方案例

tr命令 openssl md5 openssl base64

(2)解读

 (3)实操

1)nginx配置

重点: nginx只需要知道'如何拼接(变量+字符串)'即可,因为'hash不可逆'

2)生成hash摘要

关注点1: 要与'secure_link_md5'的格式一样

关注点2: 这个用'openssl'来模拟产生hash,生产级环境要'严谨的设计程序'生成

python获取自epoch的秒数 

++++++++++ '思考:生产环境谁产生hash摘要别嗯发送给客户端?' ++++++++++

3)客户端发送请求测试

⑤  secure_link_secret

===============  /prefix/hash/link的'解读'  ===============

1)prefix'前缀'是非斜杠的任意的字符串

2)hash'哈希值'是link与密钥secret的MD5值

3)link'请求的路径'

⑥  方式二

$secure_link的返回值规则:验证不通过是'空';通过则值为'资源路径'

(1)官方案例

 (2)实操

1)原理

2)生成md5

3)nginx部分配置

细节点: nginx事先'已经知道' word

补充: ^可以匹配上'任何url'

4)客户端发送请求

机制: 

  1) nginx从url中取出'test.txt'并与nginx中的配置的'word'生成一个新的'md5_hash'

  2) 然后与请求中传递的'md5_hash'做比较

⑦   内置变量 

⑧   思考1

⑨  思考2

⑩  思考3

⑪  思考4

后续: 收集'计算机相关'词汇  -->'目的':看英文文档
wzj_110
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
控制访问来源:Nginx Referer 模块
你知道莽村的莽怎么来的吗!
05-29 1202
在 HTTP 请求头中,Referer 是一个标头字段,用于指示请求的来源页面的 URL。当用户点击链接访问网页时,浏览器通常会在发送请求时包含 Referer 头。Referer 的存在使得服务器可以知道用户从哪个页面链接过来的。
Nginx secure_link防盗链模块
梨子心
08-05 5531
Nginx 有很多很不错的模块,其中ngx_http_secure_link_module模块是用于下载服务器防盗链,该模块能够检查请求链接的权限以及是否过期。 原理:通过对比经过计算出来的链接参数的校验值,如果该链接具有时效性,则判断是否过期 http://nginx.org/en/docs/http/ngx_http_secure_link_module.html#secure_link_
Laravel开发-nginx_secure_link
08-28
Laravel开发-nginx_secure_link nginx安全链接php包
Nginx设置Referer来防止盗图的实现方法
09-29
主要介绍了Nginx设置Referer来防止盗图的实现方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
nginx相关反爬策略总结笔记
dzqxwzoe的博客
03-02 1875
主要是根据检测结果展开的,如利用HTTP请求头User-Agent来判断、拦截爬虫请求,或对访问频率过高的IP地址进行封禁。被动防御存在部分缺陷:被动防御检测流程和机制单一,无法应对复杂多变的恶意爬虫,检测误判率高,容易造成误封、漏封。是主流的爬虫防御发展方向,通过对网页底层代码的持续动态变换,增加服务器行为的“不可预测性”,大幅提升攻击难度,从而实现了从客户端到服务器端的全方位“主动防护”。本文中所提到的关于nginx的一些操作,都属于被动防御机制。
Nginx配置referers防盗链(示意图+代码举例)
lifetime_gear的博客
10-17 1052
本文讲解了如何在Nginx使用valid_referers进行防盗链,但需要注意的是,valid_referers可以被绕过,读者可自行了解更安全的方式。
Referer的理解及防盗链
weixin_64311421的博客
01-09 6381
Referer利用https网站盗链http资源网站,利用iframe伪造请求、利用XMLHTTPRequest请求是否能修改字段
Nginx配置referer校验,实现简单的防盗链详解
weixin_43452467的博客
03-11 692
blocked:请求头Referer字段不为空(即存在Referer),但是值被代理或者防火墙删除了,这些值不以“http://”或“https://”开头,通俗点说就是允许“http://”或"https//"以外的请求。arbitrary string:任意字符串,定义服务器名称或可选的URI前缀,主机名可以使用*号开头或结尾,Referer字段中的服务器端口将被忽略掉。regular expression:正则表达式,以“~”开头,在“http://”或"https://"之后的文本匹配。
Nginx配置Referer防盗链
最新发布
pleaseprintf的博客
05-14 470
前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站,这篇文章男女通用,看懂了就去分享给你的码吧。HTTP Referer是Header的一部分,当浏览器向Web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器借此可以获得一些信息用于处理。return 403;return 403;root html;如上第一个是针对资源进行控制,第二个是针对目录进行配置。
HTTP请求头referer,防盗链的问题
只会div的博客
02-14 2474
排查发现,第三方链接使用的是 阿里云对象存储OSS(AliyunOSS),在 OSS 控制台开启了 Referer防盗链。 前端在跳转链接时,默认会在被访问的链接请求头上添加 Referer 头。如下图。 由于前端项目的域名没有在 第三方 Referer防盗链 的白名单中,所以在访问时,会抛出错误 `AccessDenied, You are denied by bucket referer policy`.。
nginx 实现valid_referer全面解析
u010227042的博客
09-15 2374
当我是从这个网站里面的链接跳到该网站首页的时候 因为referer的值是肯定包含srever_names 所以匹配了server_names所以不进行跳转.valid_referers后面的none或者是blocked 所以invalid_referer值为0 所以不进行跳转.先看下两种HTTP head 一个是直接输入网址打开的head,另一个是通过搜索引擎打开的网址head。1.首先当我输入我要打开的网址的时候,因为是直接输入的没有referer所以匹配了。直接输入网址打开的就打开这个网址。
Referer原理与图片防盗链实现方法详解
01-02
本文实例讲述了Referer原理与图片防盗链实现方法。分享给大家供大家参考,具体如下: 1、图片防盗链 在一些大型网站中,比如百度贴吧,该站点的图片采用了防盗链的规则,以至于使用下面代码会发生错误。 简单代码: <!DOCTYPE html> <html> <head> <meta charset=utf-8> <meta http-equiv=X-UA-Compatible content=IE=edge> <title></title> <link rel=stylesheet href=> </head> <body> <!--引用一张百度贴吧的
referrer防盗链
04-24 1165
referrer防盗链”是互联网技术中一种防止资源被盗用的防护机制,主要用于保护服务器上的文件或内容不被未经授权的网站引用。在HTTP协议中,referer(也写作referrer)是请求头的一部分,它会告诉服务器发起这次请求的网页URL。防盗链通过检查这个referer字段来判断请求是否合法:只有当请求的referer来源是我们允许的域名或者IP地址时,服务器才返回请求的资源,否则拒绝提供服务。
Nginx配置Http响应头安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应头,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应头,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
绕过防盗链的几种方式
qq_68163788的博客
11-10 2478
盗链是指在网站上显示其他网站上的图片、视频或其他媒体内容,而不经过原网站所有者的授权或许可。盗链会消耗原网站的带宽和资源,同时也会侵犯原网站所有者的版权和使用权利。 盗链行为通常被视为不道德和违法的,因为它侵犯了原网站所有者的权利,同时也给原网站带来不必要的成本和资源消耗。为了防止盗链,许多网站会设置防盗链功能,当检测到盗链时,会拒绝显示内容或者显示特定的替代内容。 因此,作为网络使用者,我们应该尊重其他网站所有者的权利,遵守网络使用规则,不进行盗链行为。如果我们需要在自己的网站上使用其他网站的内容
referer防盗链
yhcelebrite的专栏
04-26 1567
在HTTP协议中,有一个表头字段叫referer,采用URL的格式来表示从哪儿链接到当前的网页或文件。换句话说,通过referer,网站可以检测目标网页访问的来源网页,如果是资源文件,则可以跟踪到显示它的网页地址。有了referer跟踪来源就好办了,这时就可以通过技术手段来进行处理,一旦检测到来源不是本站即进行阻止或者返回指定的页面。 如果想对自己的网站进行防盗链保护,则需要针对不同的情况进行区
nginx 关于防护,安全,限流,动态黑名单的一些配置
lmq1993的博客
08-13 5126
1.关于动态黑名单 主要是定时查询访问日志,查询出访问频率较高的ip进行,加入黑名单 详情见我的上一篇文章nginx动态黑名单功能 2.避免网页被盗链 在http模块配置add_header X-Frame-Options SAMEORIGIN; 只允许相同域名iframe引入网页 X-Frame-Options 有三个值: DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN 表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FR
nginx 配置详解_详解nginx利用referer指令实现防盗链配置
weixin_39667452的博客
12-03 1047
概述处于服务性能的考虑,我们通常把HTML静态资源按照不同类型划分存放在多台服务上。如果拓扑图:超文本传输协议中的Referer作用Referer:null 表示请求者直接访问Referer:blocked 一般为防火墙设备添加的Referer:URL 表示URL中的主机告诉请求者的间接访问图中jpg.good.com显然是一台专门用户存放图片的服务器,而www.good.com是一台WEB服务器...
nginx反向代理访问带referer的后端
热门推荐
编程之路
02-24 2万+
防外链大都是通过检查请求中的http referer来实现的。如果通过反向代理来动态指定http referer是不是可以解决问题。 用nginx搭一个反向代理 location /get/ { set $hostx “”; set $addrs “”; if ( $uri ~ “^/get/http./+([^/]+)/(.+)$”) { set $hostx $1; set $addrs
nginx同时使用upstream模块和http模块实现系统分布式部署的详细过程
05-05
使用nginx的upstream模块和http模块可以实现系统的分布式部署,具体的过程如下: 1. 安装nginx:首先需要在每个节点上安装nginx服务器,确保nginx已经配置好并且可以运行。 2. 配置upstream:在nginx配置文件中定义upstream模块,指定所有节点的IP地址和端口号,例如: ``` upstream backend { server 192.168.1.100:8080; server 192.168.1.101:8080; server 192.168.1.102:8080; } ``` 3. 配置http模块:在nginx配置文件中配置http模块,将请求转发到upstream中的节点,例如: ``` location / { proxy_pass http://backend; } ``` 4. 启动nginx:启动nginx服务器,确保所有节点都可以访问。 通过以上步骤,就可以实现系统的分布式部署。当有请求到达nginx服务器时,nginx会将请求转发到upstream中的节点中的一个去处理,从而实现负载均衡和高可用性。需要注意的是,在配置upstream模块时,应该根据实际情况进行调整,确保每个节点的负载均衡比较均匀。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值