LNMP环境防盗链配置详细教程
在LNMP架构中,Nginx通过检查HTTP请求的Referer头实现防盗链。基础配置在server块添加valid_referers规则,对无效Referer返回403或重定向。高级配置可使用ngx_http_accesskey模块生成动态密钥。需注意保留none避免误拦,并注意if指令对性能的影响。
在经典的LNMP(Linux+Nginx+MySQL+PHP)架构中,Nginx作为Web服务器是实施防盗链的核心利器。简单来说,防盗链通过检查HTTP请求头中的Referer字段,判断资源请求是否来自你授权的域名——如果来源不合法,则直接拦截。接下来将为你详细拆解从基础到高级的Nginx防盗链配置方法,一步到位掌握LNMP防盗链设置。

LNMP环境下Nginx防盗链配置完整指南
一、基础防盗链配置方案(推荐)
1. 打开Nginx配置文件。在LNMP环境中,虚拟主机配置文件通常存放在 /usr/local/nginx/conf/vhost/(例如 yourdomain.conf)或 /etc/nginx/sites-available/(例如 default.conf)。使用你偏好的编辑器(如 vim)打开对应文件:
vim /usr/local/nginx/conf/vhost/yourdomain.conf
2. 添加防盗链规则。在 server 块中插入以下配置,以常见的图片、CSS、JS文件为例:
location ~* .(jpg|jpeg|png|gif|ico|css|js)$ {
# 设置允许的Referer来源:none(直接访问)、blocked(被Nginx阻止的Referer)、合法域名
valid_referers none blocked yourdomain.com www.yourdomain.com;
# 如果Referer无效,返回403 Forbidden(或重定向到自定义图片)
if ($invalid_referer) {
# 方式1:返回403错误(简单有效)
return 403;
# 方式2:重定向到默认防盗链图片(需确保图片路径可外链)
# rewrite ^/ http://yourdomain.com/static/nohotlink.jpg;
}
# 可选:设置资源缓存时间(减少重复请求)
expires 30d;
}
关键参数解析:
location ~* .(jpg|jpeg|png|gif|ico|css|js)$:匹配所有以这些扩展名结尾的静态文件请求,并且不区分大小写;valid_referers:定义合法的Referer来源。none允许用户直接输入URL访问(这一点很关键,后续会说明),blocked允许被Nginx拦截的Referer(例如某些爬虫),其余位置填入你授权的域名;if ($invalid_referer):一旦Referer不在白名单内,则执行后续操作——要么返回403错误码,要么重定向到一张“禁止盗链”的提示图片;expires 30d:让浏览器缓存这些静态资源30天,既能节省带宽又能提升访问速度。
二、高级防盗链配置(可选)
1. 针对特定目录配置防盗链。如果你只想保护 /images/ 目录下的资源,可以将 location 调整为目录匹配,更加精准:
location /images/ {
alias /data/www/yourdomain/images/; # 资源实际路径
valid_referers none blocked yourdomain.com www.yourdomain.com;
if ($invalid_referer) {
return 403;
}
}
2. 使用 ngx_http_accesskey_module 模块进一步增强安全性。该方案通过MD5加密生成动态访问密钥,能有效防止伪造Referer攻击。具体操作分三步:
- 编译安装模块:下载
ngx_http_accesskey_module,修改Nginx编译配置后重新编译(相当于重新安装Nginx); - 配置Nginx:在
location中添加以下规则:location /protected/ { accesskey on; # 开启accesskey模块 accesskey_hashmethod md5; # 加密方式为MD5 accesskey_arg "key"; # URL中密钥参数名(如?key=xxx) accesskey_signature "yourpassword$remote_addr"; # 加密字符串(密码+用户IP) } - 生成访问链接:通过PHP或其他后端语言生成带密钥的URL,例如
http://yourdomain.com/protected/file.zip?key=md5(yourpassword+用户IP)。
三、测试与生效
测试配置语法。修改完配置文件后,执行以下命令检查是否存在语法错误:
/usr/local/nginx/sbin/nginx -t如果显示
configuration file /usr/local/nginx/conf/nginx.conf test is successful,说明配置语法正确。重新加载Nginx使配置生效,无需重启服务:
/usr/local/nginx/sbin/nginx -s reload如果你使用的是systemd系统,也可以执行:
systemctl reload nginx
四、注意事项
- 避免误拦截:
valid_referers中的none必须保留,否则用户直接复制图片链接访问也会被拦截——这显然不符合正常使用场景; - 密钥安全:如果使用了
secure_link模块(原理类似),密钥(如segredo)必须严格保密,并建议定期更换; - 时间同步:使用
secure_link时,Nginx服务器与PHP服务器的时间必须保持同步,误差不得超过5分钟,否则合法的链接也会失效; - 性能影响:
if指令会略微降低Nginx处理效率,建议只在必要位置使用,避免在location中嵌套过多的if判断。
按照上述配置流程操作后,你的LNMP环境下的Nginx就能有效防止资源被盗链,既保护了带宽资源,也维护了内容版权。实际应用中,可根据业务场景灵活选择基础版或高级版方案。
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
同类文章
AWS RDS 数据库配置入门与基础操作指南
本文介绍了AWSRDS的基本概念与核心价值,即提供托管式关系数据库服务,简化运维。详细阐述了创建RDS实例的关键配置步骤,包括引擎选择、实例规格、存储与网络设置。最后,指导读者如何通过多种方式安全连接至数据库实例,并开始进行数据操作,为后续应用开发奠定基础。
PHP MVC中AJAX请求无法调用控制器方法的原因与解决方案
PHPMVC中AJAX请求返回整页HTML的常见原因是控制器方法未正确输出响应或未终止执行,导致框架渲染视图。解决方法是在控制器中设置JSON响应头、输出数据后调用exit()明确终止,同时前端使用小写url和dataType: "json "。
Go语言手动构造rsa.PublicKey:正确初始化大整数模数N完整指南
手动构造RSA公钥时,模数N为*big Int类型,不能直接使用超长十进制字面量,需通过SetString或UnmarshalText方法解析字符串。公钥指数E可直接赋值,推荐65537。生产环境应使用rsa GenerateKey生成密钥对,避免手动构造引发的安全和格式错误。
Go语言实现HTTP定时轮询监控多URL响应时间与状态检测
使用Go语言实现HTTP定时轮询监控,通过按行分割与Tab解析URL列表,避免闭包陷阱和nil指针,每个URL启动独立ticker安全并发请求,并配置超时控制与资源关闭,确保响应时间与状态码准确检测。
Tkinter中Label标签在主循环动态更新的正确方法
在Tkinter中正确动态更新标签的方法:将标签组件的textvariable参数绑定到一个StringVar变量,然后通过调用该变量的 set()方法更新其值,界面会自动刷新。这样避免直接修改text属性或调用update()。此做法实现数据与界面的解耦,代码更简洁,响应更及时,避免手动同步的闪烁,推荐做法。
- 热门数据榜
相关攻略
2026-07-10 06:41
2026-07-10 06:40
2026-07-10 06:39
2026-07-10 06:39
2026-07-10 06:39
2026-07-10 06:39
2026-07-10 06:39
2026-07-10 06:39
热门教程
- 游戏攻略
- 安卓教程
- 苹果教程
- 电脑教程

