在经典的LNMP(Linux+Nginx+MySQL+PHP)架构中,Nginx作为Web服务器是实施防盗链的核心利器。简单来说,防盗链通过检查HTTP请求头中的Referer字段,判断资源请求是否来自你授权的域名——如果来源不合法,则直接拦截。接下来将为你详细拆解从基础到高级的Nginx防盗链配置方法,一步到位掌握LNMP防盗链设置。

LNMP环境下Nginx防盗链配置完整指南
一、基础防盗链配置方案(推荐)
1. 打开Nginx配置文件。在LNMP环境中,虚拟主机配置文件通常存放在 /usr/local/nginx/conf/vhost/(例如 yourdomain.conf)或 /etc/nginx/sites-available/(例如 default.conf)。使用你偏好的编辑器(如 vim)打开对应文件:
vim /usr/local/nginx/conf/vhost/yourdomain.conf
2. 添加防盗链规则。在 server 块中插入以下配置,以常见的图片、CSS、JS文件为例:
location ~* .(jpg|jpeg|png|gif|ico|css|js)$ {
# 设置允许的Referer来源:none(直接访问)、blocked(被Nginx阻止的Referer)、合法域名
valid_referers none blocked yourdomain.com www.yourdomain.com;
# 如果Referer无效,返回403 Forbidden(或重定向到自定义图片)
if ($invalid_referer) {
# 方式1:返回403错误(简单有效)
return 403;
# 方式2:重定向到默认防盗链图片(需确保图片路径可外链)
# rewrite ^/ https://yourdomain.com/static/nohotlink.jpg;
}
# 可选:设置资源缓存时间(减少重复请求)
expires 30d;
}
关键参数解析:
location ~* .(jpg|jpeg|png|gif|ico|css|js)$:匹配所有以这些扩展名结尾的静态文件请求,并且不区分大小写;valid_referers:定义合法的Referer来源。none允许用户直接输入URL访问(这一点很关键,后续会说明),blocked允许被Nginx拦截的Referer(例如某些爬虫),其余位置填入你授权的域名;if ($invalid_referer):一旦Referer不在白名单内,则执行后续操作——要么返回403错误码,要么重定向到一张“禁止盗链”的提示图片;expires 30d:让浏览器缓存这些静态资源30天,既能节省带宽又能提升访问速度。
二、高级防盗链配置(可选)
1. 针对特定目录配置防盗链。如果你只想保护 /images/ 目录下的资源,可以将 location 调整为目录匹配,更加精准:
location /images/ {
alias /data/www/yourdomain/images/; # 资源实际路径
valid_referers none blocked yourdomain.com www.yourdomain.com;
if ($invalid_referer) {
return 403;
}
}
2. 使用 ngx_http_accesskey_module 模块进一步增强安全性。该方案通过MD5加密生成动态访问密钥,能有效防止伪造Referer攻击。具体操作分三步:
- 编译安装模块:下载
ngx_http_accesskey_module,修改Nginx编译配置后重新编译(相当于重新安装Nginx); - 配置Nginx:在
location中添加以下规则:location /protected/ { accesskey on; # 开启accesskey模块 accesskey_hashmethod md5; # 加密方式为MD5 accesskey_arg "key"; # URL中密钥参数名(如?key=xxx) accesskey_signature "yourpassword$remote_addr"; # 加密字符串(密码+用户IP) } - 生成访问链接:通过PHP或其他后端语言生成带密钥的URL,例如
https://yourdomain.com/protected/file.zip?key=md5(yourpassword+用户IP)。
三、测试与生效
测试配置语法。修改完配置文件后,执行以下命令检查是否存在语法错误:
/usr/local/nginx/sbin/nginx -t如果显示
configuration file /usr/local/nginx/conf/nginx.conf test is successful,说明配置语法正确。重新加载Nginx使配置生效,无需重启服务:
/usr/local/nginx/sbin/nginx -s reload如果你使用的是systemd系统,也可以执行:
systemctl reload nginx
四、注意事项
- 避免误拦截:
valid_referers中的none必须保留,否则用户直接复制图片链接访问也会被拦截——这显然不符合正常使用场景; - 密钥安全:如果使用了
secure_link模块(原理类似),密钥(如segredo)必须严格保密,并建议定期更换; - 时间同步:使用
secure_link时,Nginx服务器与PHP服务器的时间必须保持同步,误差不得超过5分钟,否则合法的链接也会失效; - 性能影响:
if指令会略微降低Nginx处理效率,建议只在必要位置使用,避免在location中嵌套过多的if判断。
按照上述配置流程操作后,你的LNMP环境下的Nginx就能有效防止资源被盗链,既保护了带宽资源,也维护了内容版权。实际应用中,可根据业务场景灵活选择基础版或高级版方案。
