Nginx+Tomcat 环境下的防图片盗链配置

Nginx+Tomcat环境下的防图片盗链配置

本来感觉挺简单的。细读下来，还是有一些重点必须注意。在线基础设施仅在nginx的自然环境中配备。这里有一个用NginxTomcat构建的设备和一个简单的描述。关键是以下两个过程。你可以选择任何计划。

1.nginx防盗链设备

A.方法一:升级ngx_http_accesskey_module的控制模块，但必须相对配备。网上有很多相关资料，但需要更多的解释。

■优点: *** 控逻辑严密，解决方案非常可靠。

■缺陷:必须做出更多改变。

B.方法二:立即提高Refer的分辨率，禁止不符合设置的要求。这里有一个地方必须注意。Tomcat是后端开发的，所以代理通行证的相关设备也要加上。

        # 避免照片盗链，只分辨refer是不是为本网站         location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$ {             valid_referers none blocked    *.taoximao.com taoximao.com;             if ($invalid_referer) {                 return 403;             }             # 要再加上后端开发浏览的详细地址             proxy_redirect     off;             proxy_pass         http://web_server;             proxy_set_header   Host             $host;             proxy_set_header   X-Real-IP        $remote_addr;             proxy_set_header   X-Forwarded-For $proxy_add_x_forwarded_for;         }

■优点:设备非常简单，不需要安装其他控制模块。

■缺陷:无法防止他人伪造Refer信息内容。换句话说，别人真的想偷，轻微的不便是阻止不了的；另外发现如果refer为空，一切仍可正常浏览， *** 控面广。

2.禁止Tomcat立即浏览。

(注:如果Tomcat可以立即浏览，Nginx的哪个防盗链其实是没有意义的，加个端口号就会绕过设备)

A.方法一:Linux下配备iptables，8080端口号严禁外网访问，只能按照Nginx浏览。网上资料很多，解释不多。

■优点:系统软件层面即时配备，与应用本身无关，长宽比可靠。

■缺陷:附加设备，有点不方便配备。

B.方法二:立即装备Tomcat的允许浏览ip，精确到每台主机。如果在tomcat下更改conf/server.xml文件，在主机中间添加允许浏览的IP，立即浏览会返回403错误。

      <Host name="test1.taoximao.com"  appBase="webapps_test1"             unpackWARs="true" autoDeploy="true"             xmlValidation="false" xmlNamespaceAware="false">         <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1" deny=""/>       </Host>

■优点:设备简单，实际效果能满足要求。

■缺陷:有时图片不显示。