答案:通过.htaccess、Nginx配置、PHP脚本验证及Token机制可实现PHP网站防盗链。具体包括:1. Apache利用.htaccess限制Referer,允许空来源及指定域名访问静态资源;2. Nginx使用valid_referers指令校验请求来源,非法则返回403;3. PHP脚本通过解析HTTP_REFERER判断访问域名,控制动态资源下载;4. 采用Token或时间戳生成一次性链接,防止长期盗用。综合运用可有效减少带宽滥用。
网站资源被盗链是许多PHP站点常遇到的问题,尤其是图片、视频、文件等静态资源被其他网站直接引用,导致自身服务器带宽消耗过大。通过合理配置防盗链功能,可以有效保护服务器资源。以下是几种常用的PHP网站防盗链设置方法。
1. 利用.htaccess文件设置防盗链(适用于Apache服务器)
如果使用的是Apache服务器,并且网站根目录支持.htaccess配置,可以通过该文件实现简单的防盗链控制。
在网站根目录或资源所在目录创建或编辑.htaccess文件,添加以下内容:
RewriteEngine On# 允许的域名(替换为你的域名)RewriteCond %{HTTP_REFERER} !^$RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain\.com [NC]# 禁止盗链的文件类型RewriteRule \.(jpg|jpeg|png|gif|mp4|pdf|zip)$ - [F,NC]登录后复制说明:上述规则表示只允许来自 yourdomain.com 的请求访问指定类型的文件。!^$ 表示允许直接访问(如用户在浏览器输入地址)。[F,NC] 表示返回403禁止访问,NC代表忽略大小写。2. Nginx服务器防盗链配置
如果你使用的是Nginx服务器,需要修改站点的server配置块。
立即学习“PHP免费学习笔记(深入)”;
在nginx.conf或站点配置文件中添加如下规则:
location ~* \.(jpg|jpeg|png|gif|mp4|pdf|zip)$ { valid_referers none blocked server_names *.yourdomain.com; if ($invalid_referer) { return 403; } expires 1d; add_header Cache-Control "public, no-transform";}登录后复制说明:valid_referers 定义合法来源,包括空Referer(直接访问)、被屏蔽的、以及指定域名。若来源不在允许列表中,$invalid_referer 为真,返回403错误。3. PHP脚本层面控制资源访问
对于动态文件(如PHP下载接口),可通过PHP代码判断Referer或进行权限验证。
Gnomic智能体平台 国内首家无需魔法免费无限制使用的ChatGPT4.0,网站内设置了大量智能体供大家免费使用,还有五款语言大模型供大家免费使用~
47 查看详情 
示例:download.php
<?php$allowed_domains = ['yourdomain.com', 'www.yourdomain.com'];$referer = $_SERVER['HTTP_REFERER'] ?? '';<p>$host = parse_url($referer, PHP_URL_HOST);</p><p>if (!in_array($host, $allowed_domains) && !empty($referer)) {http_response_code(403);echo "非法请求,资源不可盗链。";exit;}</p><p>// 验证通过,输出文件$file = 'uploads/example.pdf';if (file_exists($file)) {header('Content-Type: application/pdf');header('Content-Disposition: attachment; filename="' . basename($file) . '"');readfile($file);} else {http_response_code(404);echo "文件未找到。";}?></p>登录后复制说明:此方式适合保护通过PHP脚本输出的资源。可结合用户登录状态、Token验证增强安全性。4. 添加Token或时间戳验证(高级防护)
更安全的方式是为资源链接加入一次性Token或限时URL,避免被长期盗用。
例如生成带Token的下载链接:
$token = md5($filename . 'secret_salt' . date('Ymd'));$url = "download.php?file=$filename&token=$token&t=".time();登录后复制在download.php中验证Token和时间有效性:
if ($token !== md5($filename . 'secret_salt' . date('Ymd'))) { die("无效链接");}if (time() - $_GET['t'] > 3600) { // 超过1小时失效 die("链接已过期");}登录后复制基本上就这些。根据服务器环境选择合适的方法,.htaccess和Nginx规则适合静态资源,PHP逻辑控制更适合动态内容。配合Token机制能进一步提升安全性。防盗链不是绝对防御,但能有效减少资源滥用。不复杂但容易忽略细节,比如允许空Referer、正确配置域名等。
以上就是如何设置php网站防盗链_防盗链功能配置与资源保护方法教程的详细内容,更多请关注php中文网其它相关文章!
