php 实现防盗链

PHP 实现防盗链的方法

防盗链（Hotlink Protection）用于防止其他网站直接引用你的资源（如图片、视频等），从而减少服务器带宽消耗。以下是几种常见的PHP实现方法：

检查 HTTP Referer

通过检查请求头中的 HTTP_REFERER 字段，判断请求是否来自允许的域名。如果不符合条件，则拒绝访问或返回错误提示。

$allowedDomains = ['example.com', 'sub.example.com'];
$referer = $_SERVER['HTTP_REFERER'] ?? '';

$isValid = false;
foreach ($allowedDomains as $domain) {
    if (strpos($referer, $domain) !== false) {
        $isValid = true;
        break;
    }
}

if (!$isValid) {
    header('HTTP/1.1 403 Forbidden');
    exit('Access denied - Hotlinking not allowed');
}

动态生成资源链接

通过PHP脚本动态生成资源链接，并在每次请求时验证权限。例如，生成带有时间戳或Token的临时链接。

$secretKey = 'your_secret_key';
$filePath = '/path/to/your/file.jpg';
$expireTime = time() + 3600; // 链接有效期1小时
$token = md5($secretKey . $filePath . $expireTime);

// 生成临时访问链接
$tempUrl = "download.php?file=" . urlencode($filePath) . "&expire=$expireTime&token=$token";

使用 .htaccess 文件

在Apache服务器中，可以通过 .htaccess 文件结合PHP实现防盗链。例如，禁止非指定域名的访问。

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?example.com [NC]
RewriteRule \.(jpg|jpeg|png|gif|mp4)$ - [NC,F,L]

输出资源时验证

在输出资源（如图片）时，通过PHP脚本验证请求来源。如果是非法请求，可以返回默认图片或错误信息。

$imagePath = 'path/to/image.jpg';
$allowed = ['example.com'];

if (!isset($_SERVER['HTTP_REFERER']) || !in_array(parse_url($_SERVER['HTTP_REFERER'], PHP_URL_HOST), $allowed)) {
    $imagePath = 'path/to/blocked.jpg';
}

header('Content-Type: image/jpeg');
readfile($imagePath);

结合Session或Cookie验证

为合法用户生成Session或Cookie，并在请求资源时验证其有效性。

session_start();
if (!isset($_SESSION['valid_user'])) {
    header('HTTP/1.1 403 Forbidden');
    exit('Access denied');
}

// 输出资源
header('Content-Type: image/jpeg');
readfile('path/to/image.jpg');

注意事项

• HTTP_REFERER 可以被伪造，因此单独依赖它不够安全，建议结合其他方法。
• 动态链接会增加服务器负载，需权衡性能与安全性。
• 对于CDN或缓存服务，可能需要额外配置以支持防盗链逻辑。

以上方法可根据实际需求组合使用，以提高防盗链的效果。