防止视频盗链的核心是验证请求合法性,可通过四种方式实现:1. 检查HTTP_REFERER头,确保来源域名在白名单内,否则返回403;2. 使用带时效和签名的临时token生成视频链接,防止URL泄露滥用;3. 将视频文件移出Web目录,由PHP脚本验证权限后读取输出;4. 结合Redis等工具限制IP访问频率与并发,防批量下载。单独使用Referer易被伪造,建议组合Token验证与文件隔离机制,提升安全性。
防止视频盗链的核心是识别请求来源,避免资源被其他网站非法引用。PHP可以通过检查HTTP_REFERER、生成临时访问令牌和限制访问频率等方式,有效阻止视频文件被盗链使用。
1. 检查HTTP Referer来源
通过判断请求的Referer头信息,可以确认用户是否来自允许的域名。
- 获取$_SERVER['HTTP_REFERER'],解析其域名部分
- 比对是否在白名单内(如本站域名)
- 若不匹配,则拒绝访问或返回403错误
示例代码:
$referer = $_SERVER['HTTP_REFERER'] ?? '';
$allowed_domain = 'https://www.yoursite.com';
if (!empty($referer)) {
$parsed_referer = parse_url($referer, PHP_URL_HOST);
if ($parsed_referer !== parse_url($allowed_domain, PHP_URL_HOST)) {
http_response_code(403);
exit('Access denied');
}
} else {
// 无Referer也可能是直接访问,可按需处理
http_response_code(403);
exit('Direct access not allowed');
}
2. 使用临时访问令牌(Token验证)
为视频链接加入一次性或有时效性的token,确保URL无法长期暴露或被分享。
立即学习“PHP免费学习笔记(深入)”;
示例逻辑:
// 生成token链接 $expire = time() + 3600; // 1小时有效 $path = '/videos/demo.mp4'; $secret_key = 'your_secret_key'; $token = md5($path . $expire . $_SERVER['REMOTE_ADDR'] . $secret_key); $url = "/video_proxy.php?file=demo.mp4&expire=$expire&token=$token";
在video_proxy.php中验证token后再输出视频内容。
3. 视频文件放在Web目录外 + PHP读取输出
将真实视频文件存放在Web不可直接访问的目录,通过PHP脚本控制读取与输出。
- 视频存储路径如:/protected/videos/
- 使用readfile()或fopen()+fpassthru()输出
- 配合上述验证逻辑,确保只有合法请求才能读取
示例:
$video_path = '/protected/videos/' . basename($_GET['file']);
if (file_exists($video_path)) {
// 验证通过后输出
header('Content-Type: video/mp4');
header('Content-Length: ' . filesize($video_path));
readfile($video_path);
exit;
}
4. 限制访问频率与并发
防止恶意程序批量下载,可记录IP访问日志并限制单位时间请求数。
- 使用缓存(如Redis)记录IP+文件的访问次数
- 设定阈值,如每分钟最多访问3次同一视频
- 超限则返回429或拒绝响应
基本上就这些方法组合使用,能有效防止大多数视频盗链行为。单独用Referer可能被伪造,建议结合Token和文件隔离机制,安全性和实用性更高。
