Nginx 提供了valid_referers参数用于检查url中refer参数的状态,首先看下官方配置:
Syntax: valid_referers none | blocked | server_names | string ...;
Default: —
Context: server, location
能看到valid_referers总共有4种值可以使用,none、blocked、server_names、string。
我们暂且概括一下有3种值可以用:
1.none //直接访问url,而不使用任何网站或链接的跳转,$http_referer变量的值是空的。
2.blocked //请求标头中存在“ Referer”字段,但其值已被防火墙或代理服务器删除;这些值是不以“ http://”或“ https://”开头的字符串;
3.字符串 //配置域名列表,支配通配符、正则表达式写法。
看到很多人这么配:
valid_referers none blocked *.example.com;
if ($invalid_referer) {
#rewrite ^/ http://www.example.com/;
return 403;
}
这么写表示:如果"refer为空"、或"refer不以http/https开头"、或"域名为example.com的server_name" 都是有效的refer,也即valid_referers的值为0(允许访问),除此之外为1(返回403)。
这种写法可能和很多小伙伴的本意并不一样,这么写的结果就是把非法的refer也加白了,很多人的想法可能是:
“只允许refer白名单的域名访问”,其它返回403。
如果是这种需求,配置应该这么写:
valid_referers *.example.com;
if ($invalid_referer) {
#rewrite ^/ http://www.example.com/;
return 403;
}
去掉是none和blocked参数,也即:除了refer白名单的域名允许访问,其它都返回403(也包含none和blocked的refer也返回403)。
这么表达可能更准确些,大家弄清楚搜索出来的配置,不是所有的配置都能直接用,需要弄明白配置的真正意义,贴配置的同学也要有责任心,乱贴配置容易产生误导。
官方文档:http://nginx.org/en/docs/http/ngx_http_referer_module.html#valid_referers
--------end-----------