squid，lighttpd防盗链设置

做网站的，谁愿意自己辛辛苦苦的成果就被别人轻松转载，如果是文字的，一般也就禁鼠标右键，再没什么好办法（当然，名人好打官司另说），但如果是图片，影音的文件，大可以利用http协议的header信息进行控制，这就是大多数web服务器日志要记录的referer。 公司新进一测试客户，就要求CDN方配合做防盗链。

 

公司自然有规范，直接ctrl+c、ctrl+v就搞定。但这些句子，还是值得细细研究一下的。 相关语句如下：

 

acl test_domain dstdomain .test.com

acl null_referer referer_regex .

acl right_referer referer_regex -i ^http://test.com ^http://.*.test.com

http_access allow test_domain !null_referer

http_access deny test_domain !right_referer

 

第一关键点，是第一行的那个“.”，“.”匹配的是除了“n”以外的任何一个字符。那么!null_referer也就是“n”，也就是说第一条access定义的，是允许referer为空行；

 

第二关键点，是access的“!”，“!”就是非，那么!right_referer定义的就是一切除了test.com以外的域名，也就是说第二条access定义的，是不允许所有其他网站。

 

这样的结果，也就是只有从test自己的网站，或者直接在浏览器地址栏里输入完整url，才能看到文件（linux上常用的wget、curl，默认的referer也是空，所以也可以。我又试试迅雷，其referer也是空，那么估计下载工具也都是这样）

 

（比较奇怪的一点是：squid的日志里，空不显示为“ ”，而是“-”，很能迷惑人呀！）

 

于是我想到新浪和百度呀这些博客之间转来转去的图片，一般都显示一个空图，但点开来（或许还要再刷一次）也一样能看。可见防盗链都是这么做的。

 

如果真就狠到了连直接url查看也不让，那就把null_referer的定义删除掉，自然也就可以了……

 

试到这里，发现另一个问题：nagios的监控，一般也是空referer的，如果真这么狠的要求，这个监控也得改了。 因为不管是curl还是wget，都可以伪装referer。 两个的伪装语法分别是： curl -e “http://www.test.com” -x $squidip:80 http://www.test.com/test.gif wget http://www.test.com/test.gif –refer=”http://www.test.com” -e “http_proxy=$squidip”

 

我对nagios不熟，不知道里面具体是用什么去check的，大概也差不离吧？ 最后，像新浪百度这样的盗链显示图片怎么做的？也就是一句话的事，如下：

 

deny_info http://www.test.com/你盗链啦.gif

right_referer

 

 

Lighttpd 图片和视频等文件的防盗链处理

　 　用过Apache的朋友都知道mod_rewrite可以用来进行处理防盗链，Lighttpd也有同样的功能，而且总的来说， lighttpd.conf配置文件比httpd.conf更简单明了。 原来一直使用Apache来处理防盗链，今天修改了服务器上Lighttpd的配置，直接实现了防盗链，下面是防盗链部分的代码。

$HTTP["referer"] !~ "^($|http://.*/.(toplee/.com|8zone/.cn))" {       
　　$HTTP["url"] =~ "/.(jpg|jpeg|png|gif|rar|zip|mp3)$" {
　　　　url.redirect = (".*"    => "http://www.toplee.com/blog/")
　　}
}