Laravel如何实现图片防盗链功能_Laravel中间件验证Referer来源请求【方案】

20次阅读

图片防盗链核心是校验Referer请求头域名是否在白名单内,需通过laravel中间件拦截/uploads/等路由请求,确保不被nginx直接响应,并配合CDN或Nginx前置校验提升性能与兼容性。

Laravel如何实现图片防盗链功能_Laravel中间件验证Referer来源请求【方案】

图片防盗链的核心判断逻辑是检查 Referer 请求头

浏览器在请求图片等静态资源时,通常会带上 Referer 字段,表明来源页面的域名。如果该字段为空、缺失,或域名不在白名单内,就应拒绝响应。Laravel 本身不内置图片防盗链机制,必须通过中间件手动拦截 GET 请求并验证 Referer

用中间件拦截 public 目录下的图片请求(如 /uploads/

关键在于:不能让 Nginx/apache 直接返回图片文件,否则中间件完全不生效。需确保所有图片请求都经由 Laravel 路由处理。常见做法是把图片路径统一代理到一个控制器方法,或改用 Storage::response() 动态输出。

  • 把图片存放在 storage/app/public/,运行 php artisan storage:link 创建软链接
  • 路由示例: 
    Route::get('/uploads/{filename}', [ImageController::class, 'show'])->middleware('check.referer');
  • 不要直接访问 /storage/uploads/xxx.jpg —— 这类路径绕过 Laravel,中间件无效
  • Nginx 配置中需注释或移除对 public/storage 的直接静态文件服务规则(否则防盗链失效)

check.referer 中间件的具体实现要点

该中间件需提取 request()->headers->get('referer'),解析出来源域名,并与白名单比对。注意边界情况:

  • Referer 可能为空(如直接在地址栏输入图片 URL、某些隐私模式、curl 默认不带)—— 应默认拒绝
  • 允许空 Referer 的场景(如微信内置浏览器、部分 PWA)需显式配置开关,不建议默认开启
  • 使用 parse_url($referer, PHP_URL_HOST) 提取 host,避免正则误匹配(如 evil.com.example.com
  • 白名单建议用数组配置在 config/app.php环境变量中,例如:IMAGE_REFERER_WHITELIST=['yourapp.com', 'localhost:8000']
  • 匹配时建议转为小写并去除端口preg_replace('/:d+$/', '', $host)),避免 YOURAPP.COMlocalhost:8000 被拒
public function handle(Request $request, Closure $next) {     $referer = $request->headers->get('referer');     if (!$referer) {         abort(403, 'Forbidden: Referer required');     } 
$host = parse_url($referer, PHP_URL_HOST); if (!$host) {     abort(403, 'Forbidden: Invalid Referer host'); }  $host = strtolower(preg_replace('/:d+$/', '', $host)); $whitelist = config('app.image_referer_whitelist', []);  if (!in_array($host, $whitelist)) {     abort(403, 'Forbidden: Referer not allowed'); }  return $next($request);


}


性能与兼容性注意事项


每次图片请求都走 PHP 和中间件,对高并发场景有压力。生产环境强烈建议结合 CDN 或 Nginx 做前置校验,只将“无法判断”的请求(如带 query 参数的缩略图)交由 Laravel 处理。


    

  • Nginx 示例(更高效):

    location ~* .(jpg|jpeg|png|gif)$ {     valid_referers none blocked yourapp.com *.yourapp.com;     if ($invalid_referer) {         return 403;     } }
    

    • 

  • CDN(如 Cloudflare、阿里云 CDN)通常支持 Referer 黑白名单规则,优先启用
    • 

  • 移动端 webview、某些小程序可能不发送 Referer,需配合 Token 签名方案(如 /uploads/xxx.jpg?token=sha256(...))作为补充
    • 

  • chrome 85+ 对跨域请求默认使用 strict-origin-when-cross-origin,可能导致 Referer 被截断为 origin,需在白名单中包含完整 origin(含协议和端口)或仅比对 host
    • 



实际部署时,Referer 校验只是第一道防线;真正敏感的图片,仍需配合权限控制、临时签名 URL、水印、访问频率限制等组合策略。单靠中间件防不住抓包重放或 Referer 伪造。
发表于:php框架
2025-12-30
# apache# app# chrome# curl# laravel# nginx# php# public# Token# webview# 中间件# 小程序# 并发# 微信# 浏览器# 环境变量# 端口# 路由# 阿里云
复制链接
Linux运维平台脚手架教程_统一运维入口设计
Swoole如何在一个Worker进程中创建多个协程
如何实现 JavaScript 中选项卡式内容的单开单闭交互效果
Workerman怎么进行链路追踪?Workerman分布式追踪?
text=ZqhQzanResources