如何设置php网站防盗链_防盗链功能配置与资源保护方法教程

答案：通过.htaccess、Nginx配置、PHP脚本验证及Token机制可实现PHP网站防盗链。具体包括：1. Apache利用.htaccess限制Referer，允许空来源及指定域名访问静态资源；2. Nginx使用valid_referers指令校验请求来源，非法则返回403；3. PHP脚本通过解析HTTP_REFERER判断访问域名，控制动态资源下载；4. 采用Token或时间戳生成一次性链接，防止长期盗用。综合运用可有效减少带宽滥用。

网站资源被盗链是许多PHP站点常遇到的问题，尤其是图片、视频、文件等静态资源被其他网站直接引用，导致自身服务器带宽消耗过大。通过合理配置防盗链功能，可以有效保护服务器资源。以下是几种常用的PHP网站防盗链设置方法。

1. 利用.htaccess文件设置防盗链（适用于Apache服务器）

如果使用的是Apache服务器，并且网站根目录支持.htaccess配置，可以通过该文件实现简单的防盗链控制。

在网站根目录或资源所在目录创建或编辑.htaccess文件，添加以下内容：

RewriteEngine On
# 允许的域名（替换为你的域名）
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain\.com [NC]
# 禁止盗链的文件类型
RewriteRule \.(jpg|jpeg|png|gif|mp4|pdf|zip)$ - [F,NC]

• 上述规则表示只允许来自 yourdomain.com 的请求访问指定类型的文件。
• !^$ 表示允许直接访问（如用户在浏览器输入地址）。
• [F,NC] 表示返回403禁止访问，NC代表忽略大小写。

2. Nginx服务器防盗链配置

如果你使用的是Nginx服务器，需要修改站点的server配置块。

立即学习“PHP免费学习笔记（深入）”；

在nginx.conf或站点配置文件中添加如下规则：

location ~* \.(jpg|jpeg|png|gif|mp4|pdf|zip)$ {
    valid_referers none blocked server_names *.yourdomain.com;
    if ($invalid_referer) {
        return 403;
    }
    expires 1d;
    add_header Cache-Control "public, no-transform";
}

• valid_referers 定义合法来源，包括空Referer（直接访问）、被屏蔽的、以及指定域名。
• 若来源不在允许列表中，$invalid_referer 为真，返回403错误。

3. PHP脚本层面控制资源访问

对于动态文件（如PHP下载接口），可通过PHP代码判断Referer或进行权限验证。

秒哒

秒哒-不用代码就能实现任意想法

下载

示例：download.php

$host = parse_url($referer, PHP_URL_HOST);
if (!in_array($host, $allowed_domains) && !empty($referer)) {
http_response_code(403);
echo "非法请求，资源不可盗链。";
exit;
}
// 验证通过，输出文件
$file = 'uploads/example.pdf';
if (file_exists($file)) {
header('Content-Type: application/pdf');
header('Content-Disposition: attachment; filename="' . basename($file) . '"');
readfile($file);
} else {
http_response_code(404);
echo "文件未找到。";
}
?>

• 此方式适合保护通过PHP脚本输出的资源。
• 可结合用户登录状态、Token验证增强安全性。

4. 添加Token或时间戳验证（高级防护）

更安全的方式是为资源链接加入一次性Token或限时URL，避免被长期盗用。

例如生成带Token的下载链接：

$token = md5($filename . 'secret_salt' . date('Ymd'));
$url = "download.php?file=$filename&token=$token&t=".time();

在download.php中验证Token和时间有效性：

if ($token !== md5($filename . 'secret_salt' . date('Ymd'))) {
    die("无效链接");
}
if (time() - $_GET['t'] > 3600) { // 超过1小时失效
    die("链接已过期");
}

基本上就这些。根据服务器环境选择合适的方法，.htaccess和Nginx规则适合静态资源，PHP逻辑控制更适合动态内容。配合Token机制能进一步提升安全性。防盗链不是绝对防御，但能有效减少资源滥用。不复杂但容易忽略细节，比如允许空Referer、正确配置域名等。