图片防盗链核心是校验Referer请求头域名是否在白名单内，需通过Laravel中间件拦截/uploads/等路由请求，确保不被Nginx直接响应，并配合CDN或Nginx前置校验提升性能与兼容性。

图片防盗链的核心判断逻辑是检查 Referer 请求头

浏览器在请求图片等静态资源时，通常会带上 Referer 字段，表明来源页面的域名。如果该字段为空、缺失，或域名不在白名单内，就应拒绝响应。Laravel 本身不内置图片防盗链机制，必须通过中间件手动拦截 GET 请求并验证 Referer。

用中间件拦截 public 目录下的图片请求（如 /uploads/）

关键在于：不能让 Nginx/Apache 直接返回图片文件，否则中间件完全不生效。需确保所有图片请求都经由 Laravel 路由处理。常见做法是把图片路径统一代理到一个控制器方法，或改用 Storage::response() 动态输出。

• 把图片存放在 storage/app/public/，运行 php artisan storage:link 创建软链接
• 路由示例：

  Route::get('/uploads/{filename}', [ImageController::class, 'show'])->middleware('check.referer');

• 不要直接访问 /storage/uploads/xxx.jpg —— 这类路径绕过 Laravel，中间件无效
• Nginx 配置中需注释或移除对 public/storage 的直接静态文件服务规则（否则防盗链失效）

check.referer 中间件的具体实现要点

该中间件需提取 request()->headers->get('referer')，解析出来源域名，并与白名单比对。注意边界情况：

• Referer 可能为空（如直接在地址栏输入图片 URL、某些隐私模式、curl 默认不带）—— 应默认拒绝
• 允许空 Referer 的场景（如微信内置浏览器、部分 PWA）需显式配置开关，不建议默认开启
• 使用 parse_url($referer, PHP_URL_HOST) 提取 host，避免正则误匹配（如 evil.com.example.com）
• 白名单建议用数组配置在 config/app.php 或环境变量中，例如：IMAGE_REFERER_WHITELIST=['yourapp.com', 'localhost:8000']
• 匹配时建议转为小写并去除端口（preg_replace('/:\d+$/', '', $host)），避免 YOURAPP.COM 或 localhost:8000 被拒

public function handle(Request $request, Closure $next)
{
    $referer = $request->headers->get('referer');
    if (!$referer) {
        abort(403, 'Forbidden: Referer required');
    }
$host = parse_url($referer, PHP_URL_HOST);
if (!$host) {
    abort(403, 'Forbidden: Invalid Referer host');
}

$host = strtolower(preg_replace('/:\d+$/', '', $host));
$whitelist = config('app.image_referer_whitelist', []);

if (!in_array($host, $whitelist)) {
    abort(403, 'Forbidden: Referer not allowed');
}

return $next($request);
}
性能与兼容性注意事项
每次图片请求都走 PHP 和中间件，对高并发场景有压力。生产环境强烈建议结合 CDN 或 Nginx 做前置校验，只将“无法判断”的请求（如带 query 参数的缩略图）交由 Laravel 处理。

Nginx 示例（更高效）：
location ~* \.(jpg|jpeg|png|gif)$ {
    valid_referers none blocked yourapp.com *.yourapp.com;
    if ($invalid_referer) {
        return 403;
    }
}
CDN（如 Cloudflare、阿里云 CDN）通常支持 Referer 黑白名单规则，优先启用
移动端 WebView、某些小程序可能不发送 Referer，需配合 token 签名方案（如 /uploads/xxx.jpg?token=sha256(...)）作为补充
Chrome 85+ 对跨域请求默认使用 strict-origin-when-cross-origin，可能导致 Referer 被截断为 origin，需在白名单中包含完整 origin（含协议和端口）或仅比对 host

实际部署时，Referer 校验只是第一道防线；真正敏感的图片，仍需配合权限控制、临时签名 URL、水印、访问频率限制等组合策略。单靠中间件防不住抓包重放或 Referer 伪造。
          


# php 
# laravel 
# apache 
# nginx 
# 微信 
# 浏览器 
# app 
# 端口 
# 小程序 
# curl 
# 阿里云 
# 路由 
# 环境变量 
# 中间件 
# chrome 
 




相关栏目：
    【
        网站优化151355    】
    【
        网络推广146373    】
    【
        网络技术251813    】
    【
        AI营销90571    】




相关推荐：
香港服务器网站测试全流程：性能评估、SEO加载与移动适配优化 
Python制作简易注册登录系统 
jimdo怎样用html5做选项卡_jimdo选项卡html5实现与切换效果【指南】 
微博html5版本怎么弄发语音微博_语音录制入口及时长限制操作【教程】 
html5audio标签播放结束怎么触发事件_onended回调方法【教程】 
Laravel如何配置.env文件管理环境变量_Laravel环境变量使用与安全管理 
Laravel如何实现API版本控制_Laravel API版本化路由设计策略 
如何快速登录WAP自助建站平台？ 
Edge浏览器怎么启用睡眠标签页_节省电脑内存占用优化技巧 
如何在万网自助建站平台快速创建网站？ 
微信公众帐号开发教程之图文消息全攻略 
 网站制作免费,什么网站能看正片电影？ 
百度浏览器网页无法复制文字怎么办 百度浏览器复制修复 
 ,怎么在广州志愿者网站注册？ 
Python并发异常传播_错误处理解析【教程】 
 大型企业网站制作流程,做网站需要注册公司吗？ 
Laravel Eloquent模型如何创建_Laravel ORM基础之Model创建与使用教程 
nginx修改上传文件大小限制的方法 
Laravel如何创建自定义中间件？（Middleware代码示例） 
Laravel路由Route怎么设置_Laravel基础路由定义与参数传递规则【详解】 
如何在腾讯云免费申请建站？ 
如何在宝塔面板中创建新站点？ 
Laravel项目如何进行性能优化_Laravel应用性能分析与优化技巧大全 
EditPlus中的正则表达式实战(6) 
如何在 React 中条件性地遍历数组并渲染元素 
Laravel如何实现邮箱地址验证功能_Laravel邮件验证流程与配置 
Laravel怎么解决跨域问题_Laravel配置CORS跨域访问 
Laravel如何实现多对多模型关联？（Eloquent教程） 
java获取注册ip实例 
html如何与html链接_实现多个HTML页面互相链接【互相】 
Laravel如何使用Sanctum进行API认证？（SPA实战） 
JavaScript常见的五种数组去重的方式 
Laravel如何与Vue.js集成_Laravel + Vue前后端分离项目搭建指南 
 深圳网站制作设计招聘,关于服装设计的流行趋势，哪里的资料比较全面？ 
Python文本处理实践_日志清洗解析【指导】 
如何用PHP工具快速搭建高效网站？ 
laravel怎么配置和使用PHP-FPM来优化性能_laravel PHP-FPM配置与性能优化方法 
 北京网站制作费用多少,建立一个公司网站的费用.有哪些部分,分别要多少钱？ 
Laravel如何处理JSON字段_Eloquent原生JSON字段类型操作教程 
Laravel全局作用域是什么_Laravel Eloquent Global Scopes应用指南 
浅析上传头像示例及其注意事项 
如何在Tomcat中配置并部署网站项目？ 
Laravel怎么实现模型属性的自动加密 
Laravel如何自定义错误页面（404, 500）？（代码示例） 
Win11摄像头无法使用怎么办_Win11相机隐私权限开启教程【详解】 
详解vue.js组件化开发实践 
Laravel如何生成PDF或Excel文件_Laravel文档导出工具与使用教程 
如何用美橙互联一键搭建多站合一网站？ 
如何用低价快速搭建高质量网站？ 
利用vue写todolist单页应用