本文就來說一個(gè)主要提供變量并修改變量的值的模塊，也就是我們要講的防盜鏈模塊：referer 模塊。

成都創(chuàng)新互聯(lián)公司憑借專業(yè)的設(shè)計(jì)團(tuán)隊(duì)扎實(shí)的技術(shù)支持、優(yōu)質(zhì)高效的服務(wù)意識(shí)和豐厚的資源優(yōu)勢，提供專業(yè)的網(wǎng)站策劃、網(wǎng)站制作、成都網(wǎng)站制作、網(wǎng)站優(yōu)化、軟件開發(fā)、網(wǎng)站改版等服務(wù)，在成都10余年的網(wǎng)站建設(shè)設(shè)計(jì)經(jīng)驗(yàn)，為成都1000+中小型企業(yè)策劃設(shè)計(jì)了網(wǎng)站。

簡單有效的防盜鏈?zhǔn)侄?/h2>

場景

如果做過個(gè)人站點(diǎn)的同學(xué)，可能會(huì)遇到別人盜用自己站點(diǎn)資源鏈接的情況，這就是盜鏈。說到盜鏈就要說一個(gè) HTTP 協(xié)議的 頭部，referer 頭部。當(dāng)其他網(wǎng)站通過 URL 引用了你的頁面，用戶在瀏覽器上點(diǎn)擊 URL 時(shí)，HTTP 請(qǐng)求的頭部會(huì)通過 referer 頭部將該網(wǎng)站當(dāng)前頁面的 URL 帶上，告訴服務(wù)器本次請(qǐng)求是由誰發(fā)起的。

例如，在谷歌中搜索 Nginx 然后點(diǎn)擊鏈接：

在打開的新頁面中查看請(qǐng)求頭會(huì)發(fā)現(xiàn)，請(qǐng)求頭中包含了 referer 頭部且值是 https://www.google.com/ 。

像谷歌這種我們是允許的，但是有一些其他的網(wǎng)站想要引用我們自己網(wǎng)站的資源時(shí)，就需要做一些管控了，不然豈不是誰都可以拿到鏈接。

目的

這里目的其實(shí)已經(jīng)很明確了，就是要拒絕非正常的網(wǎng)站訪問我們站點(diǎn)的資源。

思路

• invalid_referer 變量

  • referer 提供了這個(gè)變量，可以用來配置哪些 referer 頭部合法，也就是，你允許哪些網(wǎng)站引用你的資源。

referer 模塊

要實(shí)現(xiàn)上面的目的，referer 模塊可得算頭一號(hào)，一起看下 referer 模塊怎么用的。

• 默認(rèn)編譯進(jìn) Nginx，通過 --without-http_referer_module 禁用

referer 模塊有三個(gè)指令，下面看一下。

 
 
 
 

  
  
  
  
Syntax: valid_referers none | blocked | server_names | string ...; 
  
  
  
  
Default: — 
  
  
  
  
Context: server, location 
  
  
  
  
 
  
  
  
  
Syntax: referer_hash_bucket_size size; 
  
  
  
  
Default: referer_hash_bucket_size 64;  
  
  
  
  
Context: server, location 
  
  
  
  
 
  
  
  
  
Syntax: referer_hash_max_size size; 
  
  
  
  
Default: referer_hash_max_size 2048;  
  
  
  
  
Context: server, location 
 
 
 
 

 
 
 
 

  
  
  
  
valid_referers 
  
  
  
  
referer_hash_bucket_size 
  
  
  
  
referer_hash_max_size 
 
 
 
 

這里面最重要的是 valid_referers 指令，需要重點(diǎn)來說明一下。

valid_referers 指令

可以同時(shí)攜帶多個(gè)參數(shù)，表示多個(gè) referer 頭部都生效。

參數(shù)值

• none

  • 允許缺失 referer 頭部的請(qǐng)求訪問
• block：允許 referer 頭部沒有對(duì)應(yīng)的值的請(qǐng)求訪問。例如可能經(jīng)過了反向代理或者防火墻
• server_names：若 referer 中站點(diǎn)域名與 server_name 中本機(jī)域名某個(gè)匹配，則允許該請(qǐng)求訪問
• string：表示域名及 URL 的字符串，對(duì)域名可在前綴或者后綴中含有 * 通配符，若 referer 頭部的值匹配字符串后，則允許訪問
• 正則表達(dá)式：若 referer 頭部的值匹配上了正則，就允許訪問

invalid_referer 變量

• 允許訪問時(shí)變量值為空
• 不允許訪問時(shí)變量值為 1

實(shí)戰(zhàn)

下面來看一個(gè)配置文件。

 
 
 
 

  
  
  
  
server { 
  
  
  
  
    server_name referer.ziyang.com; 
  
  
  
  
    listen 80; 
  
  
  
  
 
  
  
  
  
    error_log logs/myerror.log debug; 
  
  
  
  
    root html; 
  
  
  
  
    location /{ 
  
  
  
  
        valid_referers none blocked server_names 
  
  
  
  
                       *.ziyang.com www.ziyang.org.cn/nginx/ 
  
  
  
  
                       ~\.google\.; 
  
  
  
  
        if ($invalid_referer) { 
  
  
  
  
                return 403; 
  
  
  
  
        } 
  
  
  
  
        return 200 'valid\n'; 
  
  
  
  
    } 
  
  
  
  
} 
 
 
 
 

那么對(duì)于這個(gè)配置文件而言，以下哪些請(qǐng)求會(huì)被拒絕呢？

 
 
 
 

  
  
  
  
curl -H 'referer: http://www.ziyang.org.cn/ttt' referer.ziyang.com/ 
  
  
  
  
curl -H 'referer: http://www.ziyang.com/ttt' referer.ziyang.com/ 
  
  
  
  
curl -H 'referer: ' referer.ziyang.com/ 
  
  
  
  
curl referer.ziyang.com/ 
  
  
  
  
curl -H 'referer: http://www.ziyang.com' referer.ziyang.com/ 
  
  
  
  
curl -H 'referer: http://referer.ziyang.com' referer.ziyang.com/ 
  
  
  
  
curl -H 'referer: http://image.baidu.com/search/detail' referer.ziyang.com/ 
  
  
  
  
curl -H 'referer: http://image.google.com/search/detail' referer.ziyang.com/ 
 
 
 
 

我們需要先來解析一下這個(gè)配置文件。 valid_referers 指令配置了哪些值呢？

 
 
 
 

  
  
  
  
valid_referers none blocked server_names 
  
  
  
  
        *.ziyang.com www.ziyang.org.cn/nginx/ 
  
  
  
  
        ~\.google\.; 
 
 
 
 

• none：表示沒有 referer 的可以訪問
• blocked：表示 referer 沒有值的可以訪問
• server_names：表示本機(jī) server_name 也就是 referer.ziyang.com 可以訪問
• *.ziyang.com：匹配上了正則的可以訪問
• www.ziyang.org.cn/nginx/：該頁面發(fā)起的請(qǐng)求可以訪問
• ~\.google\.：google 前后都是正則匹配

下面就實(shí)際看下響應(yīng)：

 
 
 
 

  
  
  
  
# 返回 403，沒有匹配到任何規(guī)則 
  
  
  
  
  ~ curl -H 'referer: http://www.ziyang.org.cn/ttt' referer.ziyang.com/ 
  
  
  
  
 
  
  
  
  
 
  
  
  
  
 
  
  
  
  
403 Forbidden 
  
  
  
  
nginx/1.17.8 
  
  
  
  
 
  
  
  
  
 
  
  
  
  
  ~ curl -H 'referer: http://image.baidu.com/search/detail' referer.ziyang.com/ 
  
  
  
  
 
  
  
  
  
 
  
  
  
  
 
  
  
  
  
403 Forbidden 
  
  
  
  
nginx/1.17.8 
  
  
  
  
 
  
  
  
  
 
  
  
  
  
# 匹配到了 *.ziyang.com 
  
  
  
  
  ~ curl -H 'referer: http://www.ziyang.com/ttt' referer.ziyang.com/ 
  
  
  
  
valid 
  
  
  
  
  ~ curl -H 'referer: http://www.ziyang.com' referer.ziyang.com/ 
  
  
  
  
valid 
  
  
  
  
# 匹配到了 server name 
  
  
  
  
  ~ curl -H 'referer: http://referer.ziyang.com' referer.ziyang.com/ 
  
  
  
  
valid 
  
  
  
  
# 匹配到了 blocked 
  
  
  
  
  ~ curl -H 'referer: ' referer.ziyang.com/ 
  
  
  
  
valid 
  
  
  
  
# 匹配到了 none 
  
  
  
  
  ~ curl referer.ziyang.com/ 
  
  
  
  
valid 
  
  
  
  
# 匹配到了 ~\.google\. 
  
  
  
  
  ~ curl -H 'referer: http://image.google.com/search/detail' referer.ziyang.com/ 
  
  
  
  
valid 
 
 
 
 

防盜鏈另外一種解決方案：secure_link 模塊

referer 模塊是一種簡單的防盜鏈?zhǔn)侄?，必須依賴瀏覽器發(fā)起請(qǐng)求才會(huì)有效，如果攻擊者偽造 referer 頭部的話，這種方式就失效了。

secure_link 模塊是另外一種解決的方案。

它的主要原理是，通過驗(yàn)證 URL 中哈希值的方式防盜鏈。

基本過程是這個(gè)樣子的：

• 由服務(wù)器（可以是 Nginx，也可以是其他 Web 服務(wù)器）生成加密的安全鏈接 URL，返回給客戶端
• 客戶端使用安全 URL 訪問 Nginx，由 Nginx 的 secure_link 變量驗(yàn)證是否通過

原理如下：

• 哈希算法是不可逆的
• 客戶端只能拿到執(zhí)行過哈希算法的 URL
• 僅生成 URL 的服務(wù)器，驗(yàn)證 URL 是否安全的 Nginx，這兩者才保存原始的字符串

• 原始字符串通常由以下部分有序組成：

  • 資源位置。如 HTTP 中指定資源的 URI，防止攻擊者拿到一個(gè)安全 URI 后可以訪問任意資源
  • 用戶信息。如用戶的 IP 地址，限制其他用戶盜用 URL
  • 時(shí)間戳。使安全 URL 及時(shí)過期
  • 密鑰。僅服務(wù)器端擁有，增加攻擊者猜測出原始字符串的難度

模塊：

• ngx_http_secure_link_module

  • 未編譯進(jìn) Nginx，需要通過 --with-http_secure_link_module 添加

• 變量

  • secure_link
  • secure_link_expires

 
 
 
 

  
  
  
  
Syntax: secure_link expression; 
  
  
  
  
Default: — 
  
  
  
  
Context: http, server, location 
  
  
  
  
 
  
  
  
  
Syntax: secure_link_md5 expression; 
  
  
  
  
Default: — 
  
  
  
  
Context: http, server, location 
  
  
  
  
 
  
  
  
  
Syntax: secure_link_secret word; 
  
  
  
  
Default: — 
  
  
  
  
Context: location 
 
 
 
 

變量值及帶過期時(shí)間的配置示例

• secure_link

  • 值為空字符串：驗(yàn)證不通過
  • 值為 0：URL 過期
  • 值為 1：驗(yàn)證通過

• secure_link_expires

  • 時(shí)間戳的值

命令行生成安全鏈接

• 生成 md5

 
 
 
 

  
  
  
  
echo -n '時(shí)間戳URL客戶端IP密鑰' | openssl md5 -binary | openssl base64 | tr +/ - | tr -d = 
 
 
 
 

• 構(gòu)造請(qǐng)求 URL

 
 
 
 

  
  
  
  
/test1.txt?md5=md5生成值&expires=時(shí)間戳（如 2147483647） 
 
 
 
 

Nginx 配置

• secure_link $arg_md5,$arg_expires;

  • secure_link 后面必須跟兩個(gè)值，一個(gè)是參數(shù)中的 md5，一個(gè)是時(shí)間戳

• secure_link_md5 \"$secure_link_expires$uri$remote_addr secret";

  • 按照什么樣的順序構(gòu)造原始字符串

實(shí)戰(zhàn)

下面是一個(gè)實(shí)際的配置文件，我這里就不做演示了，感興趣的可以自己做下實(shí)驗(yàn)。

 
 
 
 

  
  
  
  
server { 
  
  
  
  
    server_name securelink.ziyang.com; 
  
  
  
  
    listen 80; 
  
  
  
  
    error_log  logs/myerror.log  info; 
  
  
  
  
    default_type text/plain; 
  
  
  
  
    location /{ 
  
  
  
  
        secure_link $arg_md5,$arg_expires; 
  
  
  
  
        secure_link_md5 "$secure_link_expires$uri$remote_addr secret"; 
  
  
  
  
 
  
  
  
  
        if ($secure_link = "") { 
  
  
  
  
            return 403; 
  
  
  
  
        } 
  
  
  
  
 
  
  
  
  
        if ($secure_link = "0") { 
  
  
  
  
            return 410; 
  
  
  
  
        } 
  
  
  
  
 
  
  
  
  
        return 200 '$secure_link:$secure_link_expires\n'; 
  
  
  
  
    } 
  
  
  
  
 
  
  
  
  
    location /p/ { 
  
  
  
  
        secure_link_secret mysecret2; 
  
  
  
  
 
  
  
  
  
        if ($secure_link = "") { 
  
  
  
  
            return 403; 
  
  
  
  
        } 
  
  
  
  
 
  
  
  
  
        rewrite ^ /secure/$secure_link; 
  
  
  
  
    } 
  
  
  
  
 
  
  
  
  
    location /secure/ { 
  
  
  
  
        alias html/; 
  
  
  
  
        internal; 
  
  
  
  
    } 
  
  
  
  
} 
 
 
 
 

僅對(duì) URI 進(jìn)行哈希的簡單辦法

除了上面這種相對(duì)復(fù)雜的方式防盜鏈，還有一種相對(duì)簡單的防盜鏈方式，就是只對(duì) URI 進(jìn)行哈希，這樣當(dāng) URI 傳

 
 
 
 

  
  
  
  
secure_link_secret secret; 
 
 
 
 

命令行生成安全鏈接

• 原請(qǐng)求

  • link

• 生成的安全請(qǐng)求

  • /prefix/md5/link

• 生成 md5

  • echo -n 'linksecret' | openssl md5 –hex

Nginx 配置

• secure_link_secret secret;

這個(gè)防盜鏈的方法比較簡單，那么具體是怎么用呢？大家都在網(wǎng)上下載過資源對(duì)吧，不管是電子書還是軟件，很多網(wǎng)站你點(diǎn)擊下載的時(shí)候往往會(huì)彈出另外一個(gè)頁面去下載，這個(gè)新的頁面其實(shí)就是請(qǐng)求的 Nginx 生成的安全 URL。如果這個(gè) URL 被拿到的話，其實(shí)還是可以用的，所以需要經(jīng)常的更新密鑰來確保 URL 不會(huì)被盜用。

今天這篇文章詳細(xì)講了防盜鏈的具體用法，最近的這兩篇文章都是說的已有的變量用法，下一篇文章講一下怎么生成新的變量。

分享名稱：聽說你的資源被盜用了，那你知道Nginx怎么防盜鏈嗎？
當(dāng)前地址：http://m.fisionsoft.com.cn/article/cdspgcj.html