宝塔面板中可通过三种方式配置Nginx防盗链白名单:一、手动修改网站配置文件,添加valid_referers及if判断;二、使用防火墙插件图形化设置Referer白名单;三、通过map指令+自定义脚本实现动态白名单校验。
如果您希望在宝塔面板中限制外部网站盗用您的静态资源(如图片、CSS、JS 文件),同时允许特定可信域名正常访问,则需为 Nginx 配置防盗链白名单。以下是具体操作步骤:
一、通过网站配置文件手动添加白名单规则
该方法直接修改站点对应的 Nginx 配置文件,在 location 块中加入 valid_referers 指令,明确指定被允许的 referer 域名,从而实现白名单控制。
1、登录宝塔面板,进入【网站】页面,找到目标站点,点击右侧【设置】按钮。
2、在弹出窗口中切换到【配置文件】选项卡,定位到 server 块内的 location ~ .*\.(jpg|jpeg|png|gif|js|css|woff|woff2|ttf|eot|svg)$ { 区域,若无此块可自行添加。
3、在该 location 块内插入以下 Nginx 防盗链白名单配置:
valid_referers none blocked server_names www.example.com example.com api.trusted-site.com;
4、在 valid_referers 后添加如下判断与返回逻辑:
if ($invalid_referer) {
return 403;
}
5、点击右上角【保存】按钮,随后点击【重载配置】使更改生效。
二、使用宝塔防火墙插件配置 Referer 白名单
若已安装并启用宝塔官方【防火墙】插件,可通过图形化界面快速配置 referer 白名单策略,避免手动编辑配置文件出错。
1、进入宝塔面板左侧菜单【安全】→【防火墙】,确保插件已启用并处于运行状态。
2、在防火墙主界面点击【规则管理】→【新增规则】,选择【Referer 过滤】类型。
3、在【白名单域名】输入框中,逐行填写允许访问的域名,例如:
www.example.com
example.com
cdn.trusted-corp.net
4、勾选【启用此规则】,设置作用范围为对应站点,点击【提交】保存。
5、确认规则列表中该条目状态为“已启用”,防火墙将自动注入相应 Nginx 指令。
三、利用宝塔自定义脚本功能动态加载白名单
适用于白名单域名频繁变动或需对接内部系统获取域名列表的场景,通过 Lua 脚本或 map 指令实现动态 referer 校验。
1、进入【网站】→【设置】→【配置文件】,在 http 块顶部(server 块外)添加 map 指令定义白名单映射:
map $http_referer $allowed_referer {
default 0;
~*https?://(www\.)?example\.com 1;
~*https?://api\.trusted\-site\.org 1;
~*https?://cdn\.(.+)\.cloud 1;
}
2、在对应站点的 location 块中添加校验逻辑:
if ($allowed_referer = 0) {
return 403;
}
3、检查语法是否正确:在终端执行 nginx -t,确认输出为 “syntax is ok”。
4、保存配置文件后,点击【重载配置】完成部署。
