Laravel如何实现图片防盗链功能_Laravel中间件验证Referer来源请求【方案】
发布时间 - 2025-12-30 00:00:00 点击率:次图片防盗链核心是校验Referer请求头域名是否在白名单内,需通过Laravel中间件拦截/uploads/等路由请求,确保不被Nginx直接响应,并配合CDN或Nginx前置校验提升性能与兼容性。
图片防盗链的核心判断逻辑是检查 Referer 请求头
浏览器在请求图片等静态资源时,通常会带上 Referer 字段,表明来源页面的域名。如果该字段为空、缺失,或域名不在白名单内,就应拒绝响应。Laravel 本身不内置图片防盗链机制,必须通过中间件手动拦截 GET 请求并验证 Referer。
用中间件拦截 public 目录下的图片请求(如 /uploads/)
关键在于:不能让 Nginx/Apache 直接返回图片文件,否则中间件完全不生效。需确保所有图片请求都经由 Laravel 路由处理。常见做法是把图片路径统一代理到一个控制器方法,或改用 Storage::response() 动态输出。
- 把图片存放在
storage/app/public/,运行php artisan storage:link创建软链接 - 路由示例:
Route::get('/uploads/{filename}', [ImageController::class, 'show'])->middleware('check.referer'); - 不要直接访问
/storage/uploads/xxx.jpg—— 这类路径绕过 Laravel,中间件无效 - Nginx 配置中需注释或移除对
public/storage的直接静态文件服务规则(否则防盗链失效)
check.referer 中间件的具体实现要点
该中间件需提取 request()->headers->get('referer'),解析出来源域名,并与白名单比对。注意边界情况:
-
Referer可能为空(如直接在地址栏输入图片 URL、某些隐私模式、curl 默认不带)—— 应默认拒绝 - 允许空 Referer 的场景(如微信内置浏览器、部分 PWA)需显式配置开关,不建议默认开启
- 使用
parse_url($referer, PHP_URL_HOST)提取 host,避免正则误匹配(如evil.com.example.com) - 白名单建议用数组配置在
config/app.php或环境变量中,例如:IMAGE_REFERER_WHITELIST=['yourapp.com', 'localhost:8000'] - 匹配时建议转为小写并去除端口(
preg_replace('/:\d+$/', '', $host)),避免YOURAPP.COM或localhost:8000被拒
public function handle(Request $request, Closure $next)
{
$referer = $request->headers->get('referer');
if (!$referer) {
abort(403, 'Forbidden: Referer required');
}
$host = parse_url($referer, PHP_URL_HOST);
if (!$host) {
abort(403, 'Forbidden: Invalid Referer host');
}
$host = strtolower(preg_replace('/:\d+$/', '', $host));
$whitelist = config('app.image_referer_whitelist', []);
if (!in_array($host, $whitelist)) {
abort(403, 'Forbidden: Referer not allowed');
}
return $next($request);}
性能与兼容性注意事项
每次图片请求都走 PHP 和中间件,对高并发场景有压力。生产环境强烈建议结合 CDN 或 Nginx 做前置校验,只将“无法判断”的请求(如带 query 参数的缩略图)交由 Laravel 处理。
- Nginx
示例(更高效):location ~* \.(jpg|jpeg|png|gif)$ { valid_referers none blocked yourapp.com *.yourapp.com; if ($invalid_referer) { return 403; } } - CDN(如 Cloudflare、阿里云 CDN)通常支持 Referer 黑白名单规则,优先启用
- 移动端 WebView、某些小程序可能不发送 Referer,需配合 token 签名方案(如
/uploads/xxx.jpg?token=sha256(...))作为补充 - Chrome 85+ 对跨域请求默认使用
strict-origin-when-cross-origin,可能导致 Referer 被截断为 origin,需在白名单中包含完整 origin(含协议和端口)或仅比对 host
实际部署时,Referer 校验只是第一道防线;真正敏感的图片,仍需配合权限控制、临时签名 URL、水印、访问频率限制等组合策略。单靠中间件防不住抓包重放或 Referer 伪造。
# php
# laravel
# apache
# nginx
# 微信
# 浏览器
# app
# 端口
# 小程序
# curl
# 阿里云
# 路由
# 环境变量
# 中间件
# chrome
相关栏目:
【
网站优化151355 】
【
网络推广146373 】
【
网络技术251811 】
【
AI营销90571 】
相关推荐:
Laravel如何升级到最新版本?(升级指南和步骤)
深圳网站制作平台,深圳市做网站好的公司有哪些?
魔毅自助建站系统:模板定制与SEO优化一键生成指南
怎样使用JSON进行数据交换_它有什么限制
Windows10如何删除恢复分区_Win10 Diskpart命令强制删除分区
Firefox Developer Edition开发者版本入口
Laravel怎么调用外部API_Laravel Http Client客户端使用
Laravel如何创建自定义Facades?(详细步骤)
悟空识字怎么关闭自动续费_悟空识字取消会员自动扣费步骤
Laravel的辅助函数有哪些_Laravel常用Helpers函数提高开发效率
QQ浏览器网页版登录入口 个人中心在线进入
如何彻底删除建站之星生成的Banner?
小视频制作网站有哪些,有什么看国内小视频的网站,求推荐?
Laravel的路由模型绑定怎么用_Laravel Route Model Binding简化控制器逻辑
如何在阿里云虚拟服务器快速搭建网站?
Swift中swift中的switch 语句
C++用Dijkstra(迪杰斯特拉)算法求最短路径
PHP 实现电台节目表的智能时间匹配与今日/明日轮播逻辑
高端智能建站公司优选:品牌定制与SEO优化一站式服务
大同网页,大同瑞慈医院官网?
三星网站视频制作教程下载,三星w23网页如何全屏?
非常酷的网站设计制作软件,酷培ai教育官方网站?
Python面向对象测试方法_mock解析【教程】
Laravel API资源(Resource)怎么用_格式化Laravel API响应的最佳实践
JavaScript如何实现路由_前端路由原理是什么
Windows家庭版如何开启组策略(gpedit.msc)?(安装方法)
小米17系列还有一款新机?主打6.9英寸大直屏和旗舰级影像
北京专业网站制作设计师招聘,北京白云观官方网站?
网站建设保证美观性,需要考虑的几点问题!
详解Nginx + Tomcat 反向代理 负载均衡 集群 部署指南
js实现点击每个li节点,都弹出其文本值及修改
Laravel怎么返回JSON格式数据_Laravel API资源Response响应格式化【技巧】
清除minerd进程的简单方法
如何在IIS中新建站点并配置端口与IP地址?
Laravel怎么使用Intervention Image库处理图片上传和缩放
,怎么在广州志愿者网站注册?
bing浏览器学术搜索入口_bing学术文献检索地址
Laravel怎么多语言本地化设置_Laravel语言包翻译与Locale动态切换【手册】
ChatGPT回答中断怎么办 引导AI继续输出完整内容的方法
Laravel如何生成PDF或Excel文件_Laravel文档导出工具与使用教程
Python结构化数据采集_字段抽取解析【教程】
JavaScript常见的五种数组去重的方式
Laravel Debugbar怎么安装_Laravel调试工具栏配置指南
Laravel如何使用Contracts(契约)进行编程_Laravel契约接口与依赖反转
如何快速生成可下载的建站源码工具?
Laravel如何保护应用免受CSRF攻击?(原理和示例)
济南网站建设制作公司,室内设计网站一般都有哪些功能?
如何快速搭建支持数据库操作的智能建站平台?
Laravel如何与Docker(Sail)协同开发?(环境搭建教程)
Laravel集合Collection怎么用_Laravel集合常用函数详解


示例(更高效):