在 Nginx 服務(wù)器中，valid_referers 指令用于控制哪些引用（referer）被認(rèn)為是有效的，從而可以訪(fǎng)問(wèn)特定的資源。通過(guò)設(shè)置 valid_referers 指令，管理員可以限制對(duì)網(wǎng)站資源的訪(fǎng)問(wèn)，防止惡意引用或未經(jīng)授權(quán)的訪(fǎng)問(wèn)。

valid_referers 的基本語(yǔ)法如下：

valid_referers none | blocked | server_names | string | regex;

- none：表示不允許任何引用。

- blocked：表示阻止被屏蔽的引用。

- server_names：指定允許訪(fǎng)問(wèn)的服務(wù)器名稱(chēng)列表。

- string：指定允許訪(fǎng)問(wèn)的特定引用字符串。

- regex：指定允許訪(fǎng)問(wèn)的正則表達(dá)式匹配的引用。

以下是一些常見(jiàn)的使用場(chǎng)景和示例：

1. 允許特定的域名引用

可以指定允許訪(fǎng)問(wèn)的域名列表，例如：

valid_referers example.com www.example.com;

這將只允許來(lái)自 example.com 和 www.example.com 的引用訪(fǎng)問(wèn)特定的資源。如果引用來(lái)自其他域名，將被拒絕訪(fǎng)問(wèn)。

2. 阻止特定的域名引用

如果要阻止特定的域名引用，可以使用以下方式：

valid_referers ~^(?!(badexample.com|anotherbad.com)).*$;

這里使用了否定前綴 (!) 和正則表達(dá)式來(lái)匹配除了 badexample.com 和 anotherbad.com 之外的所有域名。這樣，來(lái)自這兩個(gè)域名的引用將被阻止。

3. 允許特定的子目錄引用

可以通過(guò)設(shè)置 valid_referers 來(lái)允許特定的子目錄引用，例如：

valid_referers ~^https?://(www\.)?example\.com/subdir/.*$;

這將只允許來(lái)自 example.com 的 subdir 子目錄及其以下的引用訪(fǎng)問(wèn)資源。如果引用來(lái)自其他子目錄或其他域名，將被拒絕。

4. 結(jié)合其他指令使用

valid_referers 可以與其他 Nginx 指令結(jié)合使用，以實(shí)現(xiàn)更復(fù)雜的訪(fǎng)問(wèn)控制。例如，可以與 deny 和 allow 指令一起使用，如下所示：

location /protected {

valid_referers none blocked example.com;

if ($invalid_referer) {

return 403;

}

# 允許訪(fǎng)問(wèn)的邏輯

}

在這個(gè)例子中，如果引用被認(rèn)為是無(wú)效的（通過(guò) $invalid_referer 變量判斷），則返回 403 錯(cuò)誤響應(yīng)，表示拒絕訪(fǎng)問(wèn)。如果引用是有效的，則執(zhí)行允許訪(fǎng)問(wèn)的邏輯。

需要注意的是，valid_referers 指令并不是絕對(duì)安全的，因?yàn)橐眯畔⒖梢员粋卧?。攻擊者可以在?qǐng)求中設(shè)置虛假的 referer 頭，以繞過(guò) valid_referers 的限制。因此，在使用 valid_referers 時(shí)，應(yīng)該結(jié)合其他安全措施，如訪(fǎng)問(wèn)控制列表（ACL）、IP 限制等，以提高網(wǎng)站的安全性。

valid_referers 指令是 Nginx 中用于設(shè)置有效引用的重要指令，可以幫助管理員控制對(duì)網(wǎng)站資源的訪(fǎng)問(wèn)，防止惡意引用和未經(jīng)授權(quán)的訪(fǎng)問(wèn)。通過(guò)合理設(shè)置 valid_referers，可以提高網(wǎng)站的安全性和穩(wěn)定性。