为什么要配置防盗链
假如自己服务器是按照使用流量来计费使用的，如果网站中的图片等文件被直接引用到其他网站的文章当中，由于是复制图片的链接，实质上访问该部分内容还是直接向自己的服务器请求下载，这样一来的话会造成数据流量和网络资源增加，按量计费方式的话，那每月还需要付出额外不属于自己网站的流量付费，针对这种盗取别人网站文件资源的做法而配置防盗链，让复制的文件链接在本站以外的其他地方无法打开或正常显示
要实现防盗链，我们就必须先理解盗链的实现原理，提到防盗链的实现原理就不得不从HTTP协议说起，在HTTP协议中，有一个表头字段叫referer，采用URL的格式来表示从哪儿链接到当前的网页或文件。换句话说，通过referer，网站可以检测目标网页访问的来源网页，如果是资源文件，则可以跟踪到显示它的网页地址。有了referer跟踪来源就好办了，这时就可以通过技术手段来进行处理，一旦检测到来源不是本站即进行阻止或者返回指定的页面。

防盗链配置

[root@www conf]# less extra/httpd-vhosts.conf <Directory /usr/local/httpd/docs/123.com> ? ?SetEnvIfNoCase Referer "http://123,com" local_ref ? ?SetEnvIfNoCase Referer "http://abcd.com" local_ref ? ?SetEnvIfNoCase Referer "^$" ?local_ref ? ?<FilesMatch "\.(txt|doc|mp3|zip|rar|jpg|gif|png)"> ? ? ? ? Order Allow,Deny ? ? ? ? Allow from env=Local_ref ? ?</FilesMatch></Directory>

查看httpd主配置文件是否开启rewrite模块，未开启的话打开这行的配置

[root@www conf]# vim httpd.confLoadModule rewrite_module modules/mod_rewrite.so

重新加载虚拟主机中的配置

[root@www conf]# /usr/local/httpd/bin/apachectl -tSyntax OK[root@www conf]# /usr/local/httpd/bin/apachectl graceful

测试http中的防盗链，这里用png的图片来演示

[root@www 123.com]# curl -x127.0.0.1:80 123.com/girl.png -IHTTP/1.1 403 ForbiddenDate: Mon, 30 Jul 2018 09:23:23 GMTServer: Apache/2.4.33 (Unix) PHP/5.6.37Content-Type: text/html; charset=iso-8859-1

由于访问的不是一个正常的网站，导致图片在测试当中无法正常显示，只能显示阻止链接的提示403 forbidden

访问控制Directory

访问控制可以用于控制访问后台管理页，针对后台管理设置访问权限，如限制ip，只允许指定ip进行访问
只允许127.0.0.1访问/usr/local/httpd/docs/123.com/admin/中的内容，其他的主机ip都不允许访问该目录下的内容。Order deny,allow ?先拒绝所有请求再允许部分访问 ?Deny from all 拒绝所有的访问 ?Allow from ?xunyu

<Directory /usr/local/httpd/docs/123.com/admin/> ? ? ?Order deny,allow ? ? ?Deny from all ? ? ?Allow from 127.0.0.1</Directory>

验证访问控制限制

[root@www extra]# cd /usr/local/httpd/docs/123.com/[root@www 123.com]# lsgirl.png index.php[root@www 123.com]# mkdir admin[root@www 123.com]# echo "1234556677" > 1.html[root@www 123.com]# curl -x127.0.0.1:80 123.com/admin/1.html1234556677[root@www 123.com]# curl -x192.168.1.223:80 www.123.com/admin/1.html<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"><html><head><title>403 Forbidden</title></head><body><h1>Forbidden</h1><p>You don‘t have permission to access /admin/1.htmlon this server.<br /></p></body></html>[root@www 123.com]# curl -x192.168.1.223:80 123.com/admin/1.html -IHTTP/1.1 403 ForbiddenDate: Mon, 30 Jul 2018 12:00:19 GMTServer: Apache/2.4.33 (Unix) PHP/5.6.37Content-Type: text/html; charset=iso-8859-1

访问控制FilesMatch

FilesMatch控制访问，只允许指定ip访问指定的页面时在域名路径后添加任意字符，这里只允许回环地址访问，为了防止在web地址栏运行可执行的恶意代码

<Directory /usr/local/httpd/docs/123.com> ? ? ?<FilesMatch 1.html(.*)> ? ? ?Order deny,allow ? ? ?Deny from all ? ? ?Allow from 127.0.0.1 ? ? ?</FilesMatch></Directory>

验证192.168.1.223不允许访问指定页面的ip的状态，127.0.0.1为能访问的状态，192.168.1.223访问指定的页面不能添加任何的字符，在访问非限制页面的后面能够添加任意的字符，如：

--------------------看网页内容---------------[root@www extra]# curl -x127.0.0.1:80 www.123.com/admin/1.html?while 1234556677[root@www extra]# curl -x192.168.1.223:80 www.123.com/admin/1.html?while <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"><html><head><title>403 Forbidden</title></head><body><h1>Forbidden</h1><p>You don‘t have permission to access /admin/1.htmlon this server.<br /></p></body></html>-------------192.168.1.223查看非限制的网页且添加了任意字符[root@www extra]# curl -x192.168.1.223:80 www.123.com/admin/index.php?while 123.com<a href="www.123.com/girl.png">图片</a><img src="www.123.com/girl.png" />

httpd防盗链

原文地址：http://blog.51cto.com/8844414/2155394