使用Referer验证、代理输出、Token加密和会话控制组合防护,可有效防止PHP网站视频外链盗用。
防止视频外链盗用是网站运营中常见的需求,尤其在使用PHP搭建的平台中,直接暴露视频地址容易被他人抓取并嵌入到其他网站。以下是一些实用且有效的防护方案,帮助你保护视频资源不被非法盗用。
1. 使用防盗链Referer验证
通过检查HTTP请求头中的Referer字段,可以判断请求是否来自允许的域名。如果来源不在白名单内,则拒绝访问。
- 在PHP脚本中获取Referer信息:$_SERVER['HTTP_REFERER']- 验证Referer是否属于本站或可信任域名
- 若不符合规则,返回403禁止访问
示例代码:
$allowed_domains = ['yourdomain.com', 'www.yourdomain.com'];$referer = $_SERVER['HTTP_REFERER'] ?? '';
$host = parse_url($referer, PHP_URL_HOST);
if (!in_array($host, $allowed_domains)) {
http_response_code(403);
exit('Access denied');
}
注意:Referer可被伪造或为空,适合基础防护,不能完全依赖。
立即学习“PHP免费学习笔记(深入)”;
2. 视频文件代理输出(隐藏真实路径)
将视频存放在Web目录之外,通过PHP脚本读取并输出内容,避免直接暴露文件URL。
- 视频存储在非公开目录,如 /data/videos/- 提供一个PHP接口(如 play.php?id=123)作为访问入口
- 脚本验证权限后,使用 readfile() 或分段输出视频流
示例逻辑:
$file = '/data/videos/' . $safe_filename;
if (is_authorized()) {
header('Content-Type: video/mp4');
header('Content-Length: ' . filesize($file));
readfile($file);
exit;
}
这样外部无法直接猜测文件路径,提升安全性。
3. 加密Token临时链接
为每个视频链接生成带时效性的加密Token,过期后链接失效。
- 生成链接时包含时间戳和签名,如:video.php?file=abc.mp4&expires=1735689600&token=xxx
- 服务器验证当前时间是否小于expires,并校验token是否匹配
- Token可用HMAC算法生成,密钥保存在服务端
优点:链接难以被长期盗用,适合敏感或付费内容。
4. 限制用户会话或登录权限
确保只有登录用户才能访问视频资源。
- 在播放前检查Session或Token是否有效- 结合用户角色控制访问权限(如VIP用户才能观看)
- 可与Token机制结合使用,增强安全性
适用于会员制、课程平台等需要权限管理的场景。
基本上就这些常用方法。单独使用某一种可能不够安全,建议组合Referer验证 + Token链接 + 代理输出,形成多层防护。虽然不能百分百杜绝下载,但能有效阻止大规模外链嵌入和自动抓取。
