valid_referers 是 Nginx 中用于验证 HTTP 请求头中 Referer 字段的指令，常用于防盗链、限制非法请求来源或实现访问控制。它通过匹配 Referer 值来判断请求是否合法，并配合 if 条件语句实现逻辑处理（如返回 403 或重定向）。

一、valid_referers语法

nginx

复制

valid_referers none | blocked | server_names | string ...;

• 参数说明：
• none：允许缺失 Referer 的请求（即请求头中没有 Referer 字段）。
• blocked：允许 Referer 被防火墙或代理修改后的请求（如被删除或替换的 Referer）。
• server_names：允许 Referer 匹配当前 server 块中 server_name 的域名。
• 字符串或正则表达式：自定义允许的 Referer 值（支持通配符 * 和正则表达式）。

二、配置示例及说明

示例 1：防止图片盗链

nginx

复制

server {
    listen 80;
    server_name example.com;

    location ~ \.(jpg|png|gif)$ {
        valid_referers none blocked example.com *.example.com;
        
        if ($invalid_referer) {
            return 403;
            # 或返回默认图片：rewrite ^ /static/deny.jpg;
        }
    }
}

• 作用：
  仅允许来自 example.com、其子域名（*.example.com）或无 Referer 的请求访问图片资源，其他来源返回 403。
• 关键点：
• none 允许直接访问（如浏览器地址栏输入图片URL）。
• blocked 允许 Referer 被过滤的请求（如某些隐私模式浏览器）。
• 变量 $invalid_referer 的值来源于 valid_referers 指令对 $http_referer 的匹配结果：当请求头中的 Referer 值符合 valid_referers 指定的有效来源时，$invalid_referer 为 0；否则为 1
  
  

示例 2：仅允许特定外部站点引用

nginx

复制

location /download/ {
    valid_referers server_names ~.google. ~.bing. ~.yahoo.;
    
    if ($invalid_referer) {
        return 444;  # 静默关闭连接
    }
}

• 作用：
  仅允许来自 google.、bing.、yahoo. 域名（如 www.google.com）的请求访问 /download/ 资源。
• 正则说明：
  ~.google. 表示 Referer 包含 google 的任意子域名（如 https://drive.google.com）。

示例 3：允许空 Referer 和白名单域名

nginx

复制

location /api/ {
    valid_referers none api-partner.com partner-api.example.net;

    if ($invalid_referer) {
        return 403 "Forbidden: Invalid referer";
    }
}

• 作用：
  允许无 Referer 或来自 api-partner.com、partner-api.example.net 的请求访问 API，其他返回 403。
• 应用场景：
  保护 API 接口，仅允许合作伙伴或内部服务调用。
• 
  

示例 4：黑名单模式（拒绝特定 Referer）

nginx

复制

location / {
    valid_referers blocked ~.spam-site. ~.malicious.;

    if ($invalid_referer = "") {
        # 合法请求（不在黑名单中）
        proxy_pass http://backend;
    }

    if ($invalid_referer) {
        return 444;
    }
}

• 作用：
  拒绝 Referer 包含 spam-site 或 malicious 的请求，其他请求正常代理到后端。
• 逻辑说明：
  $invalid_referer 在 valid_referers 匹配时为 空字符串，未匹配时为 1。

示例 5：动态文件类型防盗链

nginx

复制

map $http_referer $allow_access {
    default                  0;
    ~^https?://([^/]+\.)?example.com/ 1;
    ~.trusted-domain.com     1;
    ""                       1;  # 允许空 Referer
}

server {
    location ~* \.(mp4|pdf)$ {
        if ($allow_access = 0) {
            return 403;
        }
    }
}

• 作用：
  使用 map 模块定义更复杂的 Referer 规则，根据 $http_referer 的值动态映射到 $allow_access，决定是否允许访问。允许 example.com 子域名、trusted-domain.com 及无 Referer 的请求访问视频和 PDF 文件。
• 优势：
  map 模块逻辑更清晰，适合多条件组合。

三、valid_referers的注意事项

1. Referer 可伪造：
   Referer 值可通过客户端修改，不能作为唯一安全措施，需结合其他验证（如 Token 或 IP 白名单）。
2. 正则表达式性能：
   避免复杂正则，尤其是高频访问的路径，可能影响性能。
3. 缓存影响：
   配置变更后需重新加载 Nginx：
4. bash
5. 复制
6. nginx -s reload
7. 测试方法：
   使用 curl 模拟不同 Referer：
8. bash
9. 复制
10. curl -e "http://spam-site.com" http://example.com/image.jpg curl -H "Referer: http://trusted.com" http://example.com/image.jpg

四、总结

valid_referers 的典型应用场景包括：

• 防盗链：保护图片、视频等静态资源。
• API 保护：限制接口调用来源。
• 访问控制：结合黑名单/白名单过滤请求。

合理使用可有效减少资源滥用，但需注意其局限性，建议结合日志监控（access_log）持续优化规则。