如何设置php网站防盗链_防盗链功能配置与资源保护方法教程-php教程-PHP中文网

如何设置php网站防盗链_防盗链功能配置与资源保护方法教程

絕刀狂花

发布： 2025-11-10 21:04:02

原创

745人浏览过

答案：通过.htaccess、Nginx配置、PHP脚本验证及Token机制可实现PHP网站防盗链。具体包括：1. Apache利用.htaccess限制Referer，允许空来源及指定域名访问静态资源；2. Nginx使用valid_referers指令校验请求来源，非法则返回403；3. PHP脚本通过解析HTTP_REFERER判断访问域名，控制动态资源下载；4. 采用Token或时间戳生成一次性链接，防止长期盗用。综合运用可有效减少带宽滥用。

如何设置php网站防盗链_防盗链功能配置与资源保护方法教程

网站资源被盗链是许多PHP站点常遇到的问题，尤其是图片、视频、文件等静态资源被其他网站直接引用，导致自身服务器带宽消耗过大。通过合理配置防盗链功能，可以有效保护服务器资源。以下是几种常用的PHP网站防盗链设置方法。

1. 利用.htaccess文件设置防盗链（适用于Apache服务器）

如果使用的是Apache服务器，并且网站根目录支持.htaccess配置，可以通过该文件实现简单的防盗链控制。

在网站根目录或资源所在目录创建或编辑.htaccess文件，添加以下内容：

RewriteEngine On
# 允许的域名（替换为你的域名）
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain\.com [NC]
# 禁止盗链的文件类型
RewriteRule \.(jpg|jpeg|png|gif|mp4|pdf|zip)$ - [F,NC]

登录后复制

说明：

上述规则表示只允许来自 yourdomain.com 的请求访问指定类型的文件。
!^$ 表示允许直接访问（如用户在浏览器输入地址）。
[F,NC] 表示返回403禁止访问，NC代表忽略大小写。

2. Nginx服务器防盗链配置

如果你使用的是Nginx服务器，需要修改站点的server配置块。

立即学习“PHP免费学习笔记（深入）”；

在nginx.conf或站点配置文件中添加如下规则：

location ~* \.(jpg|jpeg|png|gif|mp4|pdf|zip)$ {
    valid_referers none blocked server_names *.yourdomain.com;
    if ($invalid_referer) {
        return 403;
    }
    expires 1d;
    add_header Cache-Control "public, no-transform";
}

登录后复制

说明：

valid_referers 定义合法来源，包括空Referer（直接访问）、被屏蔽的、以及指定域名。
若来源不在允许列表中，$invalid_referer 为真，返回403错误。

3. PHP脚本层面控制资源访问

对于动态文件（如PHP下载接口），可通过PHP代码判断Referer或进行权限验证。

Gnomic智能体平台

国内首家无需魔法免费无限制使用的ChatGPT4.0，网站内设置了大量智能体供大家免费使用，还有五款语言大模型供大家免费使用~

查看详情

示例：download.php

<?php
$allowed_domains = ['yourdomain.com', 'www.yourdomain.com'];
$referer = $_SERVER['HTTP_REFERER'] ?? '';
<p>$host = parse_url($referer, PHP_URL_HOST);</p><p>if (!in_array($host, $allowed_domains) && !empty($referer)) {
http_response_code(403);
echo "非法请求，资源不可盗链。";
exit;
}</p><p>// 验证通过，输出文件
$file = 'uploads/example.pdf';
if (file_exists($file)) {
header('Content-Type: application/pdf');
header('Content-Disposition: attachment; filename="' . basename($file) . '"');
readfile($file);
} else {
http_response_code(404);
echo "文件未找到。";
}
?></p>

登录后复制

说明：

此方式适合保护通过PHP脚本输出的资源。
可结合用户登录状态、Token验证增强安全性。

4. 添加Token或时间戳验证（高级防护）

更安全的方式是为资源链接加入一次性Token或限时URL，避免被长期盗用。

例如生成带Token的下载链接：

$token = md5($filename . 'secret_salt' . date('Ymd'));
$url = "download.php?file=$filename&token=$token&t=".time();

登录后复制

在download.php中验证Token和时间有效性：

if ($token !== md5($filename . 'secret_salt' . date('Ymd'))) {
    die("无效链接");
}
if (time() - $_GET['t'] > 3600) { // 超过1小时失效
    die("链接已过期");
}

登录后复制

基本上就这些。根据服务器环境选择合适的方法，.htaccess和Nginx规则适合静态资源，PHP逻辑控制更适合动态内容。配合Token机制能进一步提升安全性。防盗链不是绝对防御，但能有效减少资源滥用。不复杂但容易忽略细节，比如允许空Referer、正确配置域名等。

以上就是如何设置php网站防盗链_防盗链功能配置与资源保护方法教程的详细内容，更多请关注php中文网其它相关文章！

大家都在看：

PHP中的魔术常量有哪些_PHP常用魔术常量__FILE__与__DIR__介绍如何用PHP调用邮件队列服务接口_PHP邮件队列服务接口调用与异步发送教程 php程序怎么部署到ubuntu服务器_php程序ubuntu服务器部署流程与配置教程如何设置php网站图片水印_图片自动加水印与版权保护配置方法 php怎么调试接口依赖_php接口外部依赖服务调试与模拟方法