Laravel如何实现图片防盗链功能_Laravel中间件验证Referer来源请求【方案】_网络技术

图片防盗链核心是校验Referer请求头域名是否在白名单内，需通过Laravel中间件拦截/uploads/等路由请求，确保不被Nginx直接响应，并配合CDN或Nginx前置校验提升性能与兼容性。

图片防盗链的核心判断逻辑是检查 `Referer` 请求头

浏览器在请求图片等静态资源时，通常会带上 Referer 字段，表明来源页面的域名。如果该字段为空、缺失，或域名不在白名单内，就应拒绝响应。Laravel 本身不内置图片防盗链机制，必须通过中间件手动拦截 GET 请求并验证 Referer。

用中间件拦截 public 目录下的图片请求（如 `/uploads/`）

关键在于：不能让 Nginx/Apache 直接返回图片文件，否则中间件完全不生效。需确保所有图片请求都经由 Laravel 路由处理。常见做法是把图片路径统一代理到一个控制器方法，或改用 Storage::response() 动态输出。

把图片存放在 storage/app/public/，运行 php artisan storage:link 创建软链接

路由示例：

Route::get('/uploads/{filename}', [ImageController::class, 'show'])->middleware('check.referer');

不要直接访问 /storage/uploads/xxx.jpg —— 这类路径绕过 Laravel，中间件无效
Nginx 配置中需注释或移除对 public/storage 的直接静态文件服务规则（否则防盗链失效）

`check.referer` 中间件的具体实现要点

该中间件需提取 request()->headers->get('referer')，解析出来源域名，并与白名单比对。注意边界情况：

Referer 可能为空（如直接在地址栏输入图片 URL、某些隐私模式、curl 默认不带）—— 应默认拒绝
允许空 Referer 的场景（如微信内置浏览器、部分 PWA）需显式配置开关，不建议默认开启
使用 parse_url($referer, PHP_URL_HOST) 提取 host，避免正则误匹配（如 evil.com.example.com）
白名单建议用数组配置在 config/app.php 或环境变量中，例如：IMAGE_REFERER_WHITELIST=['yourapp.com', 'localhost:8000']
匹配时建议转为小写并去除端口（preg_replace('/:\d+$/', '', $host)），避免 YOURAPP.COM 或 localhost:8000 被拒

public function handle(Request $request, Closure $next) { $referer = $request->headers->get('referer'); if (!$referer) { abort(403, 'Forbidden: Referer required'); }

$host = parse_url($referer, PHP_URL_HOST);
if (!$host) {
    abort(403, 'Forbidden: Invalid Referer host');
}

$host = strtolower(preg_replace('/:\d+$/', '', $host));
$whitelist = config('app.image_referer_whitelist', []);

if (!in_array($host, $whitelist)) {
    abort(403, 'Forbidden: Referer not allowed');
}

return $next($request);

}

性能与兼容性注意事项

每次图片请求都走 PHP 和中间件，对高并发场景有压力。生产环境强烈建议结合 CDN 或 Nginx 做前置校验，只将“无法判断”的请求（如带 query 参数的缩略图）交由 Laravel 处理。

Nginx

示例（更高效）：

location ~* \.(jpg|jpeg|png|gif)$ {
    valid_referers none blocked yourapp.com *.yourapp.com;
    if ($invalid_referer) {
        return 403;
    }
}

CDN（如 Cloudflare、阿里云 CDN）通常支持 Referer 黑白名单规则，优先启用
移动端 WebView、某些小程序可能不发送 Referer，需配合 token 签名方案（如 /uploads/xxx.jpg?token=sha256(...)）作为补充
Chrome 85+ 对跨域请求默认使用 strict-origin-when-cross-origin，可能导致 Referer 被截断为 origin，需在白名单中包含完整 origin（含协议和端口）或仅比对 host

实际部署时，Referer 校验只是第一道防线；真正敏感的图片，仍需配合权限控制、临时签名 URL、水印、访问频率限制等组合策略。单靠中间件防不住抓包重放或 Referer 伪造。

# php # laravel # apache # nginx # 微信 # 浏览器 # app # 端口 # 小程序 # curl # 阿里云 # 路由 # 环境变量 # 中间件 # chrome

相关栏目：【网站优化151355 】【网络推广146373 】【网络技术251811 】【 AI营销90571 】