HTTP_REFERER不可靠,需配合签名临时URL、Web服务器限制及后端流式输出校验,核心是服务端不可预测的时效性验证。
检查 $_SERVER['HTTP_REFERER'] 是否可靠
直接用 $_SERVER['HTTP_REFERER'] 做判断最常见,但不安全——它由浏览器发送,可被伪造或为空(比如从书签、HTTPS 页面跳转到 HTTP 视频地址时)。不能单独依赖它做权限控制。
- 仅适合做第一层轻量过滤,必须配合其他机制
- 空 referer 时需明确策略:放行?拒绝?还是走备用验证?
- 正则匹配要严格,避免
example.com.attacker.com这类绕过,推荐用parse_url()提取 host 后精确比对
用带签名的临时 URL 替代直接暴露视频路径
核心思路是不让真实视频 URL 固定存在,每次生成含时间戳和哈希签名的临时链接,过期即失效。这是目前最主流且有效的防盗链方式。
$secret = 'your_secret_key'; $video_path = '/videos/demo.mp4'; $expires = time() + 300; // 5分钟有效期 $signature = md5($video_path . $expires . $secret); $temp_url = "/play.php?file=" . urlencode($video_path) . "&exp=" . $expires . "&sig=" .$signature;
在 play.php 中必须重新计算签名并校验:$expected = md5($_GET['file'] . $_GET['exp'] . $secret),且检查 $_GET['exp'] > time()。注意:所有参数都要 urldecode 后参与签名,否则大小写/编码差异会导致验签失败。
配合 Web 服务器限制(Nginx / Apache)
PHP 层拦截只是其中一环,Web 服务器层面加白名单更高效,能直接拒掉大量无效请求,减轻 PHP 负担。
- Nginx 中用
valid_referers+if ($invalid_referer)返回 403,但仅作辅助,不可替代签名机制 - 更推荐用
map指令把合法域名映射为变量,再在location块中用access_by_lua_block(需 Lua 模块)或反向代理到 PHP 验签脚本 - Apache 的
.htaccess中RewriteCond %{HTTP_REFERER} !^https?://(www\.)?yourdomain\.com效果有限,且无法校验时效性
播放器前端与后端协同验证
单纯服务端校验还不够——如果前端 JS 把临时 URL 泄露到控制台或网络面板,别人照样能拿去用。必须让播放器不暴露原始地址。
- 用
的src指向一个 PHP 接口(如/api/video/stream?token=xxx),由该接口读取文件并以readfile()输出,同时设置Content-Type和Accept-Ranges: bytes - 该接口每次请求都重新校验 token 有效性(查 Redis 或数据库),支持断点续传需正确处理
Range请求头 - 禁止在 HTML 源码或 JS 变量里硬编码视频路径;token 应通过 AJAX 获取,且绑定用户 session 或设备指纹
真正难的是平衡体验与安全:签名有效期太短影响连续播放,太长又增加泄露风险;流式输出要兼顾内存占用和响应延迟;而任何前端逻辑都可能被绕过——所以关键校验永远得落在服务端且不可预测。
