答案:通过.htaccess、Nginx配置、PHP脚本验证及Token机制可实现PHP网站防盗链。具体包括:1. Apache利用.htaccess限制Referer,允许空来源及指定域名访问静态资源;2. Nginx使用valid_referers指令校验请求来源,非法则返回403;3. PHP脚本通过解析HTTP_REFERER判断访问域名,控制动态资源下载;4. 采用Token或时间戳生成一次性链接,防止长期盗用。综合运用可有效减少带宽滥用。
网站资源被盗链是许多PHP站点常遇到的问题,尤其是图片、视频、文件等静态资源被其他网站直接引用,导致自身服务器带宽消耗过大。通过合理配置防盗链功能,可以有效保护服务器资源。以下是几种常用的PHP网站防盗链设置方法。
如果使用的是Apache服务器,并且网站根目录支持.htaccess配置,可以通过该文件实现简单的防盗链控制。
在网站根目录或资源所在目录创建或编辑.htaccess文件,添加以下内容:
RewriteEngi说明:ne On # 允许的域名(替换为你的域名) RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain\.com [NC] # 禁止盗链的文件类型 RewriteRule \.(jpg|jpeg|png|gif|mp4|pdf|zip)$ - [F,NC]
如果你使用的是Nginx服务器,需要修改站点的server配置块。
在nginx.conf或站点配置文件中添加如下规则:
ne On
# 允许的域名(替换为你的域名)
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain\.com [NC]
# 禁止盗链的文件类型
RewriteRule \.(jpg|jpeg|png|gif|mp4|pdf|zip)$ - [F,NC]
location ~* \.(jpg|jpeg|png|gif|mp4|pdf|zip)$ {
valid_referers none blocked server_names *.yourdomain.com;
if ($invalid_referer) {
return 403;
}
expires 1d;
add_header Cache-Control "public, no-transform";
}
说明:对于动态文件(如PHP下载接口),可通过PHP代码判断Referer或进行权限验证。
示例:download.php
$host = parse_url($referer, PHP_URL_HOST);说明:if (!in_array($host, $allowed_domains) && !empty($referer)) { http_response_code(403); echo "非法请求,资源不可盗链。"; exit; }
// 验证通过,输出文件 $file = 'uploads/example.pdf'; if (file_exists($file)) { header('Content-Type: application/pdf'); header('Content-Disposition: attachment; filename="' . basename($file) . '"'); readfile($file); } else { http_response_code(404); echo "文件未找到。"; } ?>
更安全的方式是为资源链接加入一次性Token或限时URL,避免被长期盗用。
例如生成带Token的下载链接:
$token = md5($filename . 'secret_salt' . date('Ymd'));
$url = "download.php?file=$filename&token=$token&t=".time();
在download.php中验证Token和时间有效性:
if ($token !== md5($filename . 'secret_salt' . date('Ymd'))) {
die("无效链接");
}
if (time() - $_GET['t'] > 3600) { // 超过1小时失效
die("链接已过期");
}
基本上就这些。根据服务器环境选择合适的方法,.htaccess和Nginx规则适合静态资源,PHP逻辑控制更适合动态内容。配合Token机制能进一步提升安全性。防盗链不是绝对防御,但能有效减少资源滥用。不复杂但容易忽略细节,比如允许空Referer、正确配置域名等。