nginx防盜鏈教程 nginx圖片防盜鏈詳細解說

時間 2019-11-06

標籤 nginx 防盜教程圖片詳細解說欄目 Nginx 简体版

原文原文鏈接

　Nginx 是一個很牛的高性能Web和反向代理服務器, 它具備有不少很是優越的特性；在高鏈接併發的狀況下，Nginx是Apache服務器不錯的替代品，目前Web服務器調查顯示Apache降低Ngnix攀升，linux下更多的服務商選擇了Ngnix放棄了Apache； Nginx在美國是作虛擬主機生意的老闆們常常選擇的軟件平臺之一. 可以支持高達 50,000 個併發鏈接數的響應, 感謝Nginx爲咱們選擇了 epoll and kqueue做爲開發模型. 目前中國大陸使用nginx網站用戶有：新浪、網易、騰訊,另外知名的微網誌Plurk也使用nginx。 php

通常經常使用的方法是在server或者location段中加入!
valid_referers none blocked www.hihi123.com hihi123.com; html

詳見下面的例子
其中 none 表示空的來路，也就是直接訪問，好比直接在瀏覽器打開一個圖片
blocked 表示被防火牆標記過的來路
server_names 也就是域名了。0.5.33之後的版本中，能夠用*.hihi123.com來表示全部的二級域名 linux

1、針對不一樣的文件類型 nginx

location ~ .*\.(wma|wmv|asf|mp3|mmf|zip|rar|jpg|gif|png|swf|flv)$ {
     valid_referers none blocked *.765h.com 765h.com;  if ($invalid_referer) {
     #rewrite ^/ http://www.765h.com/error.html;  return 403;  }
}

第一行：wma|gif|jpg|png|swf|flv 瀏覽器

表示對wma、gif、jpg、png、swf、flv後綴的文件實行防盜鏈
第二行：*.765h.com 765h.com
表示對*.765h.com 765h.com這2個來路進行判斷(*表明任何，任何的二級域名)，你能夠添加更多
if{}裏面內容的意思是，若是來路不是指定來路就跳轉到403錯誤頁面，固然直接返回404也是能夠的，也能夠是圖片。服務器

2、針對不一樣的目錄 併發

location /img/ {
    root /data/img/;  valid_referers none blocked *.765h.com 765h.com;  if ($invalid_referer) {
                   rewrite  ^/ http://www.765h.com/images/error.gif;  #return 403;  }
}

以上是nginx自帶的防盜鏈功能。性能

3、nginx 的第三方模塊ngx_http_accesskey_module 來實現下載文件的防盜鏈 測試

安裝Nginx和nginx-http-access模塊網站

#tar zxvf nginx-0.7.61.tar.gz
#cd nginx-0.7.61/
#tar xvfz nginx-accesskey-2.0.3.tar.gz
#cd nginx-accesskey-2.0.3 #vi config
#把HTTP_MODULES="$HTTP_MODULES $HTTP_ACCESSKEY_MODULE" 修改爲HTTP_MODULES="$HTTP_MODULES ngx_http_accesskey_module" (這是此模塊的一個bug)
#./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --add-module=/root/nginx-accesskey-2.0.3

編譯成功後，在主配置文件加入相似下面的代碼：

server{ 
..... 
    location /download { 
        accesskey             on;  accesskey_hashmethod  md5;  accesskey_arg "key";  accesskey_signature "mypass$remote_addr";  } 
}

/download 爲你下載的目錄。

前臺php產生的下載路徑格式是：

1.http://*****.com/download/1.zip?key=<?php echo md5('mypass'.$_SERVER["REMOTE_ADDR"]);?>
這樣，當訪問沒有跟參數同樣時，其餘用戶打開時，就出現：403

NginxHttpAccessKeyModule第三方模塊，實現方法以下：

1. 下載Nginx HttpAccessKeyModule模塊文件：Nginx-accesskey-2.0.3.tar.gz；

2. 解壓此文件後，找到nginx-accesskey-2.0.3下的config文件。編輯此文件：替換其中的"$HTTP_ACCESSKEY_MODULE"爲"ngx_http_accesskey_module"；

3. 用一下參數從新編譯nginx：

./configure --add-module=path/to/nginx-accesskey

4. 修改nginx的conf文件，添加如下幾行：

location /download {
  accesskey             on;  accesskey_hashmethod  md5;  accesskey_arg "key";  accesskey_signature "mypass$remote_addr"; }

其中：
accesskey爲模塊開關；
accesskey_hashmethod爲加密方式MD5或者SHA-1；
accesskey_arg爲url中的關鍵字參數；
accesskey_signature爲加密值，此處爲mypass和訪問IP構成的字符串。

訪問測試腳本download.php：

<? $ipkey= md5("mypass".$_SERVER['REMOTE_ADDR']); $output_add_key="<a href=http://www.example.cn/download/G3200507120520LM.rar?key=".$ipkey.">download_add_key</a><br />"; $output_org_url="<a href=http://www.example.cn/download/G3200507120520LM.rar>download_org_path</a><br />"; echo $output_add_key; echo $output_org_url;
?>

訪問第一個download_add_key連接能夠正常下載，第二個連接download_org_path會返回403 Forbidden錯誤。

若是不怕麻煩，有條件實現的話，推薦使用Nginx HttpAccessKeyModule這個東西。

他的運行方式是：如個人download 目錄下有一個 file.zip 的文件。對應的URI 是http://www.765h.com/download/file.zip
使用ngx_http_accesskey_module 模塊後http://www.765h.com/download/file.zip?key=09093abeac094. 只有給定的key值正確了，纔可以下載download目錄下的file.zip。並且 key 值是根據用戶的IP有關的，這樣就能夠避免被盜鏈了。

聽說Nginx HttpAccessKeyModule如今連迅雷均可以防了，能夠嘗試一下。

下載：
Nginx 0.8.51 穩定版下載：nginx-0.8.51，nginx/Windows-0.8.51
HttpAccessKeyModule第三方模塊下載：http://wiki.nginx.org/images/5/51/Nginx-accesskey-2.0.3.tar.gz

轉：http://dansan.blogbus.com/logs/87953679.html