什么是 Referer
Referer 首部包含了当前请求页面的来源页面的地址,即表示当前页面是通过此来源页面里的链接进入的。服务端一般使用 Referer 首部识别访问来源,可能会以此进行统计分析、日志记录以及缓存优化等。
通俗来说,假如我通过 Google 搜索去搜索referer,然后搜索引擎给出了一堆链接,这个时候,我点击链接,那么 http 头就会带上 referer 字段信息,并且值就是 Google 搜索的 url 地址https://www.google.com;因此,假设从 A 网址到 B 网址,那么这个 referer 字段就告诉 B网址该请求是从 A 网址发起的。
nginx 实现防盗链的原理
既然 http 头部会带有 referer 字段,因此,就可以从这个字段入手,我们只需要确认我们的 referer 白名单,就可以成功的实现防盗链功能,因此,就需要拦截你所想拦截的请求,然后,去读取每一个请求的 referer 字段信息,如果存在空值或者 referer 字段的值不在白名单中,就可以返回相应的 http 状态码 (404,403d 等等)
具体配置代码
来自:nginx 中文文档 https://wizardforcel.gitbooks.io/nginx-doc/content/Text/1.1_overview.html
location ~* \.(gif|jpg|png|swf|flv)$ {
root html
valid_referers none blocked *.nginxcn.com;
if ($invalid_referer) {
rewrite ^/ [www.nginx.cn](http://www.nginx.cn/)
#return 404;
}
}
valid_referers就是所有请求通过拦截后根据 referer 白名单对比的结果
none blocked就是指后面的域名、ip 就是 referer 白名单的值
*.nginxcn.com就是 referer 白名单
缺点
referer 可伪造
像 Java 的 httpclient,可以伪造一个 referer 去实现一个资源请求,然后顺利的下载资源,因此,通过 referer 所实现的防盗链接面对这样的操作,就是摆设
通过删除 Header 中的 Referrer
<meta name="referrer" content="never">
content 有四个值可以选择 never,always,origin,default 这是来自于 whatwg 标准,浏览器对他的支持还是很好的。
MDN 标准,还多了一个 no-referrer
通过添加 ReferrerPolicy 属性
添加 meta 标签相当于对文档中的所有链接都取消了 referrer,
而R eferrerPolicy 则更精确的指定了某一个资源的referrer策略。
关于这个策略的定义可以参照MDN。比如我想只对某一个图片取消referrer,如下编写即可:
<img src="xxxx.jpg" referrerPolicy="no-referrer" />
都可以绕过nginx的防盗链
