我要评论针对海量图片资源的防盗链与防下载,需要构建多层防御体系。以下是经过实战验证的 apache 深度防护策略:
一、基础层:referer 防盗链(第一层过滤)
<ifmodule mod_rewrite.c>
rewriteengine on
# 定义允许的白名单域名(正则匹配,支持子域名)
rewritecond %{http_referer} !^$
rewritecond %{http_referer} !^https?://(www\.)?yourdomain\.com [nc]
rewritecond %{http_referer} !^https?://(www\.)?partner-site\.com [nc]
rewritecond %{http_referer} !^https?://(www\.)?cdn\.yourdomain\.com [nc]
rewritecond %{http_referer} !^https?://(www\.)?localhost [nc]
# 对图片资源应用防盗链
rewriterule \.(jpg|jpeg|png|gif|webp|bmp|svg|ico)$ - [f,l]
</ifmodule>说明:!^$ 允许空 referer(部分客户端/邮件客户端),如需严格可移除。[f] 返回 403 forbidden,[l] 终止后续规则。
二、核心层:token 签名验证(防直链 + 防篡改)
1. 服务端 token 生成逻辑(php/python 示例)
<?php
// 密钥必须与服务端一致
$secret = 'yourstrongsecretkey_2024!';
$expire = time() + 300; // 5分钟有效期
function generateimagetoken($path, $expire, $secret) {
$data = $path . '|' . $expire;
return hash_hmac('sha256', $data, $secret);
}
$imagepath = '/uploads/2024/photo.jpg';
$token = generateimagetoken($imagepath, $expire, $secret);
$url = "https://img.yourdomain.com{$imagepath}?t={$token}&e={$expire}";
// 输出: https://img.yourdomain.com/uploads/2024/photo.jpg?t=abc123&e=1715000000
?>2. apache 配置(验证 token + 过期时间)
<ifmodule mod_rewrite.c>
rewriteengine on
# 仅对图片目录启用
<directory "/var/www/images">
# 提取 url 参数
rewritecond %{query_string} ^(?:.*&)?t=([^&]+)(?:&.*)?$ [nc]
rewriterule .* - [e=token:%1]
rewritecond %{query_string} ^(?:.*&)?e=([^&]+)(?:&.*)?$ [nc]
rewriterule .* - [e=expire:%1]
# 构建验证字符串:路径|过期时间
rewriterule .* - [e=verify_string:%{request_uri}|%{env:expire}]
# 计算期望的 hmac(需要 mod_setenvif 或外部程序,这里用 lua/外部脚本)
# 方案a:使用 mod_lua(推荐,高性能)
<ifmodule mod_lua.c>
luahookaccesschecker /etc/apache2/scripts/verify_token.lua verify_token
</ifmodule>
# 方案b:使用外部程序验证(性能较低,适合低频)
# rewritemap token_verify prg:/etc/apache2/scripts/verify_token.py
# rewritecond ${token_verify:%{env:verify_string}|%{env:token}} !^valid$
# rewriterule .* - [f,l]
# 检查过期时间
rewritecond %{time} > %{env:expire}
rewriterule .* - [f,l]
</directory>
</ifmodule>3. lua 验证脚本(/etc/apache2/scripts/verify_token.lua)
-- 需要安装 libapache2-mod-lua
require "apache2"
require "hash"
require "string"
local secret = "yourstrongsecretkey_2024!"
function verify_token(r)
local token = r.subprocess_env["token"]
local expire = r.subprocess_env["expire"]
local path = r.uri
if not token or not expire then
return apache2.declined -- 让 rewrite 规则处理(返回403)
end
-- 检查是否过期
local now = os.time()
if tonumber(expire) < now then
return apache2.http_forbidden
end
-- 计算 hmac
local data = path .. "|" .. expire
local expected = hash.hmac_sha256(data, secret)
-- 安全比较(防时序攻击)
if not secure_compare(token, expected) then
return apache2.http_forbidden
end
return apache2.ok
end
function secure_compare(a, b)
if #a ~= #b then return false end
local result = 0
for i = 1, #a do
result = result | (string.byte(a, i) ~ string.byte(b, i))
end
return result == 0
end三、传输层:防直接下载 + 防右键保存
1. 禁用图片直接保存(content-disposition)
<ifmodule mod_headers.c>
# 对图片强制 inline 显示,但阻止"另存为"对话框的默认行为
<filesmatch "\.(jpg|jpeg|png|gif|webp)$">
header set content-disposition "inline"
# 禁止浏览器缓存图片到本地(减少离线查看)
header set cache-control "private, no-store, max-age=0"
</filesmatch>
</ifmodule>2. 添加水印(通过 mod_pagespeed 或后端处理)
# 使用 mod_pagespeed 自动添加水印(需安装)
<ifmodule pagespeed_module>
modpagespeedenablefilters rewrite_images
modpagespeedenablefilters insert_image_dimensions
# 自定义水印滤镜
modpagespeedimagemaxbytes 2097152
</ifmodule>四、行为层:反爬虫与异常检测
1. 频率限制(mod_evasive 或 mod_security)
# 使用 mod_evasive 限制单 ip 图片请求频率
<ifmodule mod_evasive24.c>
doshashtablesize 3097
dospagecount 5 # 同一页面5秒内超过5次
dossitecount 50 # 同一站点5秒内超过50次
dospageinterval 5
dossiteinterval 5
dosblockingperiod 600 # 封禁10分钟
dosemailnotify admin@yourdomain.com
doslogdir "/var/log/mod_evasive"
</ifmodule>2. 使用 modsecurity 高级防护
<ifmodule security2_module>
# 拦截无 referer 的批量请求(爬虫特征)
secrule request_filename "@rx \.(jpg|jpeg|png|gif|webp)$" \
"id:1001,phase:1,block,log,msg:'image access without referer',\
chain"
secrule request_headers:referer "@streq" \
"setvar:ip.image_requests=+1,expirevar:ip.image_requests=60"
# 单 ip 60秒内超过100次图片请求则封禁
secrule ip:image_requests "@gt 100" \
"id:1002,phase:1,deny,status:403,msg:'rate limit exceeded for images'"
# 拦截常见爬虫 user-agent
secrule request_headers:user-agent "@pm wget curl python scrapy" \
"id:1003,phase:1,deny,status:403,msg:'bot detected'"
</ifmodule>五、应用层:前端 + 后端协同防护
1. 图片通过 canvas 渲染(防右键保存)
<!-- 前端示例:图片通过 canvas 绘制,dom 中不暴露真实 img 标签 -->
<canvas id="protected-img" width="800" height="600"></canvas>
<script>
fetch('/api/get-image-token?path=/uploads/photo.jpg')
.then(r => r.json())
.then(data => {
const img = new image();
img.crossorigin = 'anonymous';
img.onload = function() {
const canvas = document.getelementbyid('protected-img');
const ctx = canvas.getcontext('2d');
ctx.drawimage(img, 0, 0);
// 添加视觉水印
ctx.font = '14px arial';
ctx.fillstyle = 'rgba(255,255,255,0.5)';
ctx.filltext('© yourdomain ' + new date().getfullyear(), 10, 30);
};
img.src = data.url; // 带 token 的 url
});
</script>2. 动态缩略图 + 防盗链(防止原图泄露)
# 使用 mod_rewrite + mod_proxy 将缩略图请求代理到处理服务
rewriterule ^/thumb/(\d+)x(\d+)/(.*)$ \
http://localhost:8080/thumbnail?w=$1&h=$2&path=$3 [p,l]六、完整配置汇总
# ==================== 全局设置 ====================
servertokens prod
serversignature off
# ==================== 模块加载 ====================
loadmodule rewrite_module modules/mod_rewrite.so
loadmodule headers_module modules/mod_headers.so
loadmodule lua_module modules/mod_lua.so
# ==================== 图片目录防护 ====================
<directory "/var/www/images">
options -indexes -followsymlinks
allowoverride none
require all granted
rewriteengine on
# ---- layer 1: referer 白名单 ----
rewritecond %{http_referer} !^$
rewritecond %{http_referer} !^https?://(www\.)?yourdomain\.com [nc]
rewritecond %{http_referer} !^https?://(www\.)?cdn\.yourdomain\.com [nc]
rewritecond %{http_referer} !^https?://(www\.)?localhost [nc]
rewriterule \.(jpg|jpeg|png|gif|webp|bmp|svg)$ - [f,l]
# ---- layer 2: token 验证 ----
rewritecond %{query_string} ^(?:.*&)?t=([^&]+)(?:&.*)?$ [nc]
rewriterule .* - [e=token:%1]
rewritecond %{query_string} ^(?:.*&)?e=([^&]+)(?:&.*)?$ [nc]
rewriterule .* - [e=expire:%1]
# 过期检查
rewritecond %{time} > %{env:expire}
rewriterule .* - [f,l]
# lua hmac 验证
<ifmodule mod_lua.c>
luahookaccesschecker /etc/apache2/scripts/verify_token.lua verify_token
</ifmodule>
# ---- layer 3: 响应头加固 ----
<ifmodule mod_headers.c>
header set content-disposition "inline"
header set cache-control "private, max-age=300"
header set x-content-type-options "nosniff"
# 禁止图片被嵌入 iframe(点击劫持防护)
header set x-frame-options "deny"
# csp 限制图片加载来源
header set content-security-policy "img-src 'self' data:; default-src 'none'"
</ifmodule>
# ---- layer 4: 频率限制(需 mod_evasive)----
<ifmodule mod_evasive24.c>
dospagecount 10
dossitecount 100
dosblockingperiod 300
</ifmodule>
</directory>
# ==================== 日志记录 ====================
customlog "/var/log/apache2/image_access.log" "%h %l %u %t \"%r\" %>s %b \"%{referer}i\" \"%{user-agent}i\" %{unique_id}e"防护效果总结
| 层级 | 防护手段 | 防御目标 |
|---|---|---|
| layer 1 | referer 白名单 | 阻止第三方网站直接引用 |
| layer 2 | token + hmac + 过期时间 | 防止 url 分享、直链访问 |
| layer 3 | 响应头控制 + csp | 防止右键保存、iframe 嵌入 |
| layer 4 | 频率限制 + waf | 阻止爬虫批量抓取 |
| layer 5 | canvas 渲染 + 动态水印 | 前端防保存、溯源追踪 |
这套方案的核心是 token 签名机制——即使攻击者获取了图片 url,token 会在短时间内过期,且无法伪造签名,从根本上杜绝了盗链和批量下载。
到此这篇关于apache配置实现对海量图片资源的深度防盗链与防下载策略的文章就介绍到这了,更多相关apache海量图片防盗链与防下载内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网!
发表评论