nginx系列(六)防盗链

盗链的定义
    此内容不在自己服务器上，而通过技术手段，绕过别人放广告有利益的最终页，直接在自己的有广告有利益的页面上向最终用户提供此内容。 常常是一些名不见经传的小网站来盗取一些有实力的大网站的地址（比如一些音乐、图片、软件的下载地址）然后放置在自己的网站中，通过这种方法盗取大网站的空间和流量。


Nginx的防盗链
一般的防盗链
如下：
        location ~* \.(gif|jpg|png|swf|flv)$ {
            valid_referers none blocked 192.168.56.2 www.163.com;
            if ($invalid_referer) {
              #rewrite ^/ http://192.168.56.2/500.html;
              return 403;
            }
        }

第一行：gif|jpg|png|swf|flv
表示对gif、jpg、png、swf、flv后缀的文件实行防盗链
第二行：192.168.56.2 www.163.com
表示对192.168.56.2 www.163.com这2个来路进行判断（主要是根据http协议里的referer）
if{}里面内容的意思是，如果来路不是指定来路就跳转到错误页面，当然直接返回403也是可以的。

验证
写一个页面，放到${nginx_home}/html目录下

<html>
        <body>
[url=cat.jpg]cat.jpg[/url]
        <body>
</html>

上传cat图片文件到${nginx_home}/html目录下
然后修改valid_referers none blocked 192.168.56.2 www.163.com;即可看到结果


NginxHttpAccessKeyModule实现防盗链
配置文件
        location / {
            accesskey             on;
            accesskey_hashmethod  md5;
            accesskey_arg         "key";
            accesskey_signature   "mypass$remote_addr";
            root   html;
            index  index.html index.htm;
        }
如果不怕麻烦，有条件实现的话，推荐使用NginxHttpAccessKeyModule这个东西。

他的运行方式是：如我的download 目录下有一个 file.zip 的文件。对应的URI 是http://192.168.56.2/download/file.zip
使用ngx_http_accesskey_module 模块后http://192.168.56.2/download/file.zip?key=09093abeac094. 只有给定的key值正确了，才能够下载download目录下的file.zip。而且 key 值是根据用户的IP有关的，这样就可以避免被盗链了。

NginxHttpAccessKeyModule现在连迅雷都可以防了，可以尝试一下。

验证
上传cat图片文件到${nginx_home}/html目录下
本机地址为192.168.56.1，md5（mypass192.168.56.1）=38aab68ac44d06eeda43d98de55a1318
直接访问
http://192.168.56.2/cat.jpg返回404
访问
http://192.168.56.2/cat.jpg?key=38aab68ac44d06eeda43d98de55a1318

相关文档：
《Nginx下Discuz!的Rewrite》：http://www.ccvita.com/348.html
《Nginx下WordPress的Rewrite》：http://www.ccvita.com/336.html
《Nginx的Rewrite配置》：http://www.ccvita.com/319.html
《Nginx的防盗链配置》：http://www.ccvita.com/312.html