nginx配置防盗链和跨域访问

防盗链
一个网站上会有很多的图片，如果你不希望其他网站直接用你的图片地址访问自己的图片，或者希望对图片有版权保护。不希望被第三方调用造成服务器的负载以及流量消耗等问题，那么就要做防盗链。就是不孕去别的网站访问我们的图片。
配置方式
修改并重新加载nginx配置文件，增加 只允许zk03访问静态文件
valid_referers none blocked zk03;
if ($invalid_referer) {
return 404;
}
配置文件内容

server {
   listen 80;
   server_name localhost;
   location / {
     proxy_pass http://tomcat;
     proxy_set_header Host $host;
     proxy_set_header X-Real-IP $remote_addr;
     proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
   }
   location ~.*\.(js|css|png|svg|ico|jpg){
     valid_referers none blocked zk03;
     if ($invalid_referer) {
        return 404;
     }
     root static-resource;
     expires 1h;
   }
}

通过zk03 访问一切正常如下：

测试 zk01访问 : 测试方式，修改zk01中tomcat 首页代码如下：

访问 zk01:8080 tomcat首页无法访问到css 文件 但是直接访问 http://zk03/tomcat.css 没有任何问题。这样就能让我们的静态资源只允许指定的网站访问。 如下：


需要注意的是伪造一个有效的“Referer”请求头是相当容易的，因此这个模块的预期目的不在于彻底地阻止这些非法请求，而是为了阻止由正常浏览器发出的大规模此类请求。另外即使正常浏览器发送的合法请求，也可能没有“Referer”请求头

跨域访问

什么叫跨域呢？如果两个节点的协议、域名、端口、子域名不同，那么进行的操作都是跨域的，浏览器为了安全问题都是限制跨域访问，所以跨域其实是浏览器本身的限制。

实现方式： nginx增加如下配置
add_header ‘Access-Control-Allow-Origin’ ‘’; // #允许来自所有的访问地址
add_header ‘Access-Control-Allow-Methods’ ‘GET,PUT,POST,DELETE,OPTIONS’; //支持的请求方式
add_header ‘Access-Control-Allow-Header’ 'Content-Type,’; //支持的媒体类型

配置示例如下,这里不做演示了：

upstream tomcat {
    #ip_hash;
    server zk01:8080;
    server zk02:8080;
}
server {
   listen 80;
   server_name localhost;
   location / {
     proxy_pass http://tomcat;
     proxy_set_header Host $host;
     proxy_set_header X-Real-IP $remote_addr;
     proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
     add_header 'Access-Control-Allow-Origin' '*';
     add_header 'Access-Control-Allow-Methods' 'GET,PUT,POST,DELETE,OPTIONS'; 
     add_header 'Access-Control-Allow-Header' 'Content-Type,*'; 
   
   }
   location ~.*\.(js|css|png|svg|ico|jpg){
     valid_referers none blocked 192.168.68.137 zk03;
     if ($invalid_referer) {
        return 404;
     }
     root static-resource;
     expires 1h;
   }
}