PHP环境配置Nginx防盗链教程

本文详细讲解了在phpEnv环境下如何正确配置Nginx防盗链功能，强调其必须通过修改站点专属的vhost配置文件（而非.htaccess或全局nginx.conf）并使用valid_referers指令实现，重点剖析了白名单中必须包含none、blocked及完整域名（如*.yourdomain.com）的关键原因，手把手指导避免常见陷阱——如漏写none导致直接访问失败、误用全角符号引发语法错误、忘记执行phpenv nginx restart导致配置不生效，还特别提醒Referer校验对动态PHP下载接口形同虚设，需结合PHP层Token或Nginx secure_link模块进行增强防护，是phpEnv用户落地防盗链不可错过的实战指南。

phpEnv 默认不启用防盗链，必须手动在 Nginx 配置中添加 valid_referers 规则；直接改 .htaccess 或 PHP 脚本无效，因为 phpEnv 使用的是 Nginx + PHP-FPM 架构。

确认 phpEnv 使用的 Nginx 配置文件位置

phpEnv 的 Nginx 配置通常位于：C:\phpEnv\nginx\conf\vhost\your-site.conf（Windows）或 /usr/local/phpenv/nginx/conf/vhost/your-site.conf（Linux/macOS）。不要去改全局 nginx.conf，否则重启后可能被覆盖。

关键点：

• 每个站点对应一个独立的 vhost 配置文件，修改前先确认当前生效的是哪个
• 用 phpenv nginx restart 重启服务，不是 nginx -s reload（后者可能不生效）
• 配置里若已存在 location / 块，防盗链规则应新增为另一个 location ~* \.(jpg|png|gif|pdf|zip)$ 块，避免嵌套冲突

写对 valid_referers 白名单，别漏掉 none 和 blocked

常见错误是只写域名，导致用户直接输入图片 URL 访问失败（Referer 为空），或某些内网/代理环境返回 blocked 状态而被误拒。

正确写法示例：

location ~* \.(jpg|jpeg|png|gif|pdf|zip|mp4)$ {
    valid_referers none blocked *.yourdomain.com yourdomain.com;
    if ($invalid_referer) {
        return 403;
    }
    expires 1d;
    add_header Cache-Control "public, no-transform";
}

说明：

• none：允许浏览器地址栏直接访问（如 https://yoursite.com/img/logo.png）
• blocked：允许 Referer 存在但被截断/清洗后的请求（常见于微信内置浏览器、部分企业防火墙）
• *.yourdomain.com 和 yourdomain.com：覆盖带 www 和不带 www 的情况；通配符 * 只支持子域名前缀，不能写成 * 或 **.com

测试防盗链是否生效，用 curl -e 模拟 Referer

别依赖浏览器右键“在新标签页打开图片”来测试——这会带上合法 Referer。真正验证得用命令行模拟非法来源：

在终端执行：

curl -I -e "https://baidu.com" https://yourdomain.com/test.jpg

预期返回 HTTP/1.1 403 Forbidden；若返回 200，说明规则没生效或域名拼错。

容易踩的坑：

• 域名末尾多写了斜杠（yourdomain.com/）或少了协议（应写 yourdomain.com，不是 http://yourdomain.com）
• 配置文件里用了中文全角符号（如引号、括号），Nginx 启动会报 invalid number of arguments in "valid_referers"
• 修改后忘记执行 phpenv nginx restart，只刷新页面看不到效果

动态资源（如 PHP 下载接口）不能只靠 Referer，要加 Token 验证

Referer 可被客户端伪造，对 download.php?file=xxx.zip 这类接口，仅靠 Nginx 防盗链形同虚设。必须在 PHP 层做校验：

例如在 download.php 开头加：

更安全的做法是结合时间戳+签名（类似 Nginx secure_link），但前提是你的 phpEnv 编译时启用了 ngx_http_secure_link_module —— 默认不启用，这点常被忽略。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~