nginx防盗链处理模块referer和secure_link模块
使用场景:某网站听过URI引用你的页面;当用户在网站点击url时;http头部会经过referer头部,将该网站当前页面的url带上,告诉服务本次请求是由这个页面发起的html
思路:经过referer模块,用invalid_referer变量根据配置判断referer头部是否合法。python
目的:拒绝非正常网站访问咱们站点资源nginx
默认:referer模块默认编译进nginx正则表达式
指令介绍算法
Syntax: valid_referers none | blocked | server_names | string ...; #指定的域名地址 Default: — Context: server, location Syntax: referer_hash_bucket_size size; #希到内存里。内存的大写 Default: referer_hash_bucket_size 64; Context: server, location Syntax: referer_hash_max_size size; Default: referer_hash_max_size 2048; Context: server, location
valid_referers:参数express
none:容许缺失的头部访问
block:容许referer没有对应值的请求
server_names:若referer站点域名与server_name中本机配的域名同样容许访问
表示域名及URI的字符串,对域名可在前缀或者后缀中含有*通配符:若头部值匹配字符串后则容许访问
正则表达式:若referer头部值匹配正则表达式后,容许访问
invalid_referer变量
容许访问时变量值为空
不容许访问时变量值为1
配置
server {
server_name refere.com;
access_log logs/refere.log main;
location /{
valid_referers none blocked server_name
*.taohui.pub www.taohui.org.cn/nginx/
~\.google\.;
if ($invalid_referer) {
return 403;
}
return 200 "tars\n";
}
}
测试安全
[root@python vhast]# curl -H 'referer: http://refere.com.cn/ttt' refere.com <html> <head><title>403 Forbidden</title></head> <body> <center><h1>403 Forbidden</h1></center> <hr><center>nginx/1.15.9</center> </body> </html> [root@python vhast]# curl -H 'referer: http://www.taohui.pub/ttt' refere.com tars [root@python vhast]# curl -H 'referer: ' refere.com tars [root@python vhast]# curl -H '' refere.com tars [root@python vhast]# curl -H 'referer: http://www.taohui.tech' refere.com <html> <head><title>403 Forbidden</title></head> <body> <center><h1>403 Forbidden</h1></center> <hr><center>nginx/1.15.9</center> </body> </html> [root@python vhast]# curl -H 'referer: http://referer.taohui.tech' refere.com <html> <head><title>403 Forbidden</title></head> <body> <center><h1>403 Forbidden</h1></center> <hr><center>nginx/1.15.9</center> </body> </html> [root@python vhast]# curl -H 'referer: http://image.baidu.com/search/detail' refere.com <html> <head><title>403 Forbidden</title></head> <body> <center><h1>403 Forbidden</h1></center> <hr><center>nginx/1.15.9</center> </body> </html> [root@python vhast]# curl -H 'referer: http://image.google.com/search/detail' refere.com tars
secure_link 模块介绍;默认未编译进去
经过验证URL中哈希值的方式防盗链
过程:由某服务器(也能够是nginx)生成加密后的安全rul,返回给客户端;客户端使用安全的uri访问,有nginx的secure_link变量是否经过
原理:哈希算法在技术上实现几乎是不可逆的;客户端只能拿到执行过哈希算法的uri;仅生产url的服务器、验证url是否安全的nginx这两者,才保存执行哈希算法钱的原始字符串;原始字符串一般由下列部分组成
1资源位置,如HTTP中指定资源的url,防止攻击者拿到一个安全url后能够任意访问资源
2用户信息,如用户的IP地址,限制其余用户盗用安全URL
3时间戳,使安全URL及时过时
4密钥,仅服务端有,增长攻击者猜想出原始字符串难度
变量:secure_link 、secure_link_expires
secure_link 指令介绍
Syntax: secure_link expression; #值为空,不经过 为0 为过时 为1 经过 Default: — Context: http, server, location Syntax: secure_link_md5 expression; #怎么构造原始字符串 Default: — Context: http, server, location Syntax: secure_link_secret word; Default: — Context: location
相关文章
- 1. Nginx防盗链和FPM模块优化
- 2. nginx secure_link下载防盗链
- 3. nginx学习系列 -- 使用变量防盗链的referer模块
- 4. 利用 Nginx accesskey 和 secure_link 防盗链
- 5. 防盗链[referer]
- 6. referer与防盗链
- 7. Nginx模块学习之————accesskey权限模块使用(简单的m3u8防盗链)
- 8. 用accesskey模块实现Nginx服务器深度防盗链
- 9. Referer图片防盗链
- 10. 防盗链referer的用法
- 更多相关文章...
- • Lua 模块与包 - Lua 教程
- • DTD - XML 构建模块 - DTD 教程
- • 委托模式
- • Docker 清理命令
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. js中 charCodeAt
- 2. Android中通过ViewHelper.setTranslationY实现View移动控制(NineOldAndroids开源项目)
- 3. 【Android】日常记录:BottomNavigationView自定义样式,修改点击后图片
- 4. maya 文件检查 ui和数据分离 (一)
- 5. eclipse 修改项目的jdk版本
- 6. Android InputMethod设置
- 7. Simulink中Bus Selector出现很多? ? ?
- 8. 【Openfire笔记】启动Mac版Openfire时提示“系统偏好设置错误”
- 9. AutoPLP在偏好标签中的生产与应用
- 10. 数据库关闭的四种方式
欢迎关注本站公众号,获取更多信息
