Laravel如何实现图片防盗链功能_Laravel中间件验证Referer来源请求【方案】
发布时间 - 2025-12-30 00:00:00 点击率:次图片防盗链核心是校验Referer请求头域名是否在白名单内,需通过Laravel中间件拦截/uploads/等路由请求,确保不被Nginx直接响应,并配合CDN或Nginx前置校验提升性能与兼容性。
图片防盗链的核心判断逻辑是检查 Referer 请求头
浏览器在请求图片等静态资源时,通常会带上 Referer 字段,表明来源页面的域名。如果该字段为空、缺失,或域名不在白名单内,就应拒绝响应。Laravel 本身不内置图片防盗链机制,必须通过中间件手动拦截 GET 请求并验证 Referer。
用中间件拦截 public 目录下的图片请求(如 /uploads/)
关键在于:不能让 Nginx/Apache 直接返回图片文件,否则中间件完全不生效。需确保所有图片请求都经由 Laravel 路由处理。常见做法是把图片路径统一代理到一个控制器方法,或改用 Storage::response() 动态输出。
- 把图片存放在
storage/app/public/,运行php artisan storage:link创建软链接 - 路由示例:
Route::get('/uploads/{filename}', [ImageController::class, 'show'])->middleware('check.referer'); - 不要直接访问
/storage/uploads/xxx.jpg—— 这类路径绕过 Laravel,中间件无效 - Nginx 配置中需注释或移除对
public/storage的直接静态文件服务规则(否则防盗链失效)
check.referer 中间件的具体实现要点
该中间件需提取 request()->headers->get('referer'),解析出来源域名,并与白名单比对。注意边界情况:
-
Referer可能为空(如直接在地址栏输入图片 URL、某些隐私模式、curl 默认不带)—— 应默认拒绝 - 允许空 Referer 的场景(如微信内置浏览器、部分 PWA)需显式配置开关,不建议默认开启
- 使用
parse_url($referer, PHP_URL_HOST)提取 host,避免正则误匹配(如evil.com.example.com) - 白名单建议用数组配置在
config/app.php或环境变量中,例如:IMAGE_REFERER_WHITELIST=['yourapp.com', 'localhost:8000'] - 匹配时建议转为小写并去除端口(
preg_replace('/:\d+$/', '', $host)),避免YOURAPP.COM或localhost:8000被拒
public function handle(Request $request, Closure $next)
{
$referer = $request->headers->get('referer');
if (!$referer) {
abort(403, 'Forbidden: Referer required');
}
$host = parse_url($referer, PHP_URL_HOST);
if (!$host) {
abort(403, 'Forbidden: Invalid Referer host');
}
$host = strtolower(preg_replace('/:\d+$/', '', $host));
$whitelist = config('app.image_referer_whitelist', []);
if (!in_array($host, $whitelist)) {
abort(403, 'Forbidden: Referer not allowed');
}
return $next($request);}
性能与兼容性注意事项
每次图片请求都走 PHP 和中间件,对高并发场景有压力。生产环境强烈建议结合 CDN 或 Nginx 做前置校验,只将“无法判断”的请求(如带 query 参数的缩略图)交由 Laravel 处理。
- Nginx
示例(更高效):location ~* \.(jpg|jpeg|png|gif)$ { valid_referers none blocked yourapp.com *.yourapp.com; if ($invalid_referer) { return 403; } } - CDN(如 Cloudflare、阿里云 CDN)通常支持 Referer 黑白名单规则,优先启用
- 移动端 WebView、某些小程序可能不发送 Referer,需配合 token 签名方案(如
/uploads/xxx.jpg?token=sha256(...))作为补充 - Chrome 85+ 对跨域请求默认使用
strict-origin-when-cross-origin,可能导致 Referer 被截断为 origin,需在白名单中包含完整 origin(含协议和端口)或仅比对 host
实际部署时,Referer 校验只是第一道防线;真正敏感的图片,仍需配合权限控制、临时签名 URL、水印、访问频率限制等组合策略。单靠中间件防不住抓包重放或 Referer 伪造。
# php
# laravel
# apache
# nginx
# 微信
# 浏览器
# app
# 端口
# 小程序
# curl
# 阿里云
# 路由
# 环境变量
# 中间件
# chrome
相关栏目:
【
网站优化151355 】
【
网络推广146373 】
【
网络技术251813 】
【
AI营销90571 】
相关推荐:
香港服务器网站测试全流程:性能评估、SEO加载与移动适配优化
Python制作简易注册登录系统
jimdo怎样用html5做选项卡_jimdo选项卡html5实现与切换效果【指南】
微博html5版本怎么弄发语音微博_语音录制入口及时长限制操作【教程】
html5audio标签播放结束怎么触发事件_onended回调方法【教程】
Laravel如何配置.env文件管理环境变量_Laravel环境变量使用与安全管理
Laravel如何实现API版本控制_Laravel API版本化路由设计策略
如何快速登录WAP自助建站平台?
Edge浏览器怎么启用睡眠标签页_节省电脑内存占用优化技巧
如何在万网自助建站平台快速创建网站?
微信公众帐号开发教程之图文消息全攻略
网站制作免费,什么网站能看正片电影?
百度浏览器网页无法复制文字怎么办 百度浏览器复制修复
,怎么在广州志愿者网站注册?
Python并发异常传播_错误处理解析【教程】
大型企业网站制作流程,做网站需要注册公司吗?
Laravel Eloquent模型如何创建_Laravel ORM基础之Model创建与使用教程
nginx修改上传文件大小限制的方法
Laravel如何创建自定义中间件?(Middleware代码示例)
Laravel路由Route怎么设置_Laravel基础路由定义与参数传递规则【详解】
如何在腾讯云免费申请建站?
如何在宝塔面板中创建新站点?
Laravel项目如何进行性能优化_Laravel应用性能分析与优化技巧大全
EditPlus中的正则表达式实战(6)
如何在 React 中条件性地遍历数组并渲染元素
Laravel如何实现邮箱地址验证功能_Laravel邮件验证流程与配置
Laravel怎么解决跨域问题_Laravel配置CORS跨域访问
Laravel如何实现多对多模型关联?(Eloquent教程)
java获取注册ip实例
html如何与html链接_实现多个HTML页面互相链接【互相】
Laravel如何使用Sanctum进行API认证?(SPA实战)
JavaScript常见的五种数组去重的方式
Laravel如何与Vue.js集成_Laravel + Vue前后端分离项目搭建指南
深圳网站制作设计招聘,关于服装设计的流行趋势,哪里的资料比较全面?
Python文本处理实践_日志清洗解析【指导】
如何用PHP工具快速搭建高效网站?
laravel怎么配置和使用PHP-FPM来优化性能_laravel PHP-FPM配置与性能优化方法
北京网站制作费用多少,建立一个公司网站的费用.有哪些部分,分别要多少钱?
Laravel如何处理JSON字段_Eloquent原生JSON字段类型操作教程
Laravel全局作用域是什么_Laravel Eloquent Global Scopes应用指南
浅析上传头像示例及其注意事项
如何在Tomcat中配置并部署网站项目?
Laravel怎么实现模型属性的自动加密
Laravel如何自定义错误页面(404, 500)?(代码示例)
Win11摄像头无法使用怎么办_Win11相机隐私权限开启教程【详解】
详解vue.js组件化开发实践
Laravel如何生成PDF或Excel文件_Laravel文档导出工具与使用教程
如何用美橙互联一键搭建多站合一网站?
如何用低价快速搭建高质量网站?
利用vue写todolist单页应用


示例(更高效):