Nginx反向代理Referer检查（手把手教你实现防盗链与安全访问控制）

实战：配置 Nginx 反向代理并启用 Referer 检查

下面是一个完整的配置示例，假设你的网站域名为 your-site.com，你想保护 /protected/ 路径下的所有资源（如图片、视频等）不被其他网站盗用。

步骤 1：编辑 Nginx 配置文件

通常位于 /etc/nginx/nginx.conf 或 /etc/nginx/sites-available/default。

步骤 2：添加 Referer 验证规则

在 server 块中加入以下配置：

server {    listen 80;    server_name your-site.com;    # 允许空 Referer（如直接访问、书签、HTTPS 到 HTTP 跳转等情况）    valid_referers none blocked your-site.com *.your-site.com;    location /protected/ {        # 如果 Referer 不合法，返回 403 禁止访问        if ($invalid_referer) {            return 403;        }        # 反向代理到后端服务        proxy_pass http://backend-server;        proxy_set_header Host $host;        proxy_set_header X-Real-IP $remote_addr;        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;    }    # 其他普通路径可正常访问    location / {        proxy_pass http://backend-server;    }}

关键参数解释：

• valid_referers：定义哪些 Referer 是合法的。
• none：允许没有 Referer 的请求（如用户直接输入 URL）。
• blocked：允许 Referer 被防火墙或代理删除的情况（值非标准但存在）。
• your-site.com *.your-site.com：只允许来自你自己的域名（包括子域名）。
• $invalid_referer：Nginx 内置变量，当请求的 Referer 不在 valid_referers 列表中时，该变量为非空。

注意事项与优化建议

1. Referer 可伪造：虽然 Referer 检查能阻挡大部分普通盗链，但高级用户可通过工具伪造 Referer。因此，它属于基础防护，不能替代更高级的认证机制（如 Token、签名 URL）。

2. HTTPS 环境下 Referer 可能缺失：出于隐私考虑，从 HTTPS 页面跳转到 HTTP 资源时，浏览器通常不会发送 Referer。因此建议全站启用 HTTPS。

3. 结合 User-Agent 或 IP 限制：可进一步增强安全性，例如只允许特定 User-Agent 或 IP 段访问敏感资源。

总结

通过在 Nginx反向代理 中配置 Referer 检查，你可以轻松实现基本的Web安全防护和防盗链配置。这种方法简单高效，适合大多数中小型网站。记住，安全是多层次的，Referer 验证只是其中一环，合理组合多种策略才能构建更坚固的防线。

希望这篇教程能帮助你理解并应用 Nginx 的 Referer 验证功能！如有疑问，欢迎在评论区交流。