什么是防盗链？

有时候，当我们在网站上浏览图片时会遇到图片打不开，并看到提示：“403权限禁止”。这可能是正在浏览的这个网站用到的图片在盗用别的网站图片，而被盗用的网站采用了防盗链技术。

这个功能是很有用的，特别是对于图片站或视频站。

今天本文就聊聊如何实现防盗链。

以nginx为例，如何实现防盗链？

nginx referer指令

nginx有个模块模块：ngx_http_referer_module。

通常用于阻挡来源非法的域名请求。用nginx防盗链，就要用到它。

脚本如下：

server{
 listen 80;
 server_name www.sharewaf.com;
 index index.html index.htm index.php;
 root /data/www;
 # 定义访问日志的路径和格式 access_log /tmp/nginx_access.log main;
 # 不记录静态文件的的访问日志 location ~ .*.(gif|jpg|jpeg|png|bmp|swf|flv|rar|zip|gz|bz2)$ {
 access_log off;
 expires 10d;
 valid_referers none blocked *.bing.com *.baidu.com *.google.com;
 if ($invalid_referer) {
 rewrite ^/ http://www.sharewaf.com/;
 #return 403; }
 }
}

• location ~ .*.(gif|jpg|jpeg|png|bmp|swf|flv|rar|zip|gz|bz2) 表示对gif、jpg、png、swf、flv后缀的文件实行防盗链
• valid_referers none blocked 表示对来路进行判断 if{ }里面内容的意思是，如果来路不是指定来路域名，如果来路不是指定来路就跳转到指定页面，当然直接返回403也是可以的。

另外需要知道的是：伪装Referer头部是非常简单的事情，所以这个模块只能用于阻止部分简单的非法请求，如果要实现高强度的防盗链，还是得用专业的WAF(web应用防火墙)，如：ShareWAF。

另外要注意，有些合法的请求是不会带referer来源头部的,所以有时候不要拒绝来源头部（referer）为空的请求，否则会阻挡掉很多合法访问。

其它还可能能用于nginx防盗链的指令：

• 语法: referer_hash_bucket_size size;
• 默认值: referer_hash_bucket_size 64;
• 配置段: server, location

最后，配置文件设置完成别忘记重启nginx生效。