Laravel如何实现图片防盗链功能_Laravel中间件验证Referer来源请求【方案】

图片防盗链核心是校验referer请求头域名是否在白名单内，需通过laravel中间件拦截/uploads/等路由请求，确保不被nginx直接响应，并配合cdn或nginx前置校验提升性能与兼容性。

图片防盗链的核心判断逻辑是检查 Referer 请求头

浏览器在请求图片等静态资源时，通常会带上 Referer 字段，表明来源页面的域名。如果该字段为空、缺失，或域名不在白名单内，就应拒绝响应。Laravel 本身不内置图片防盗链机制，必须通过中间件手动拦截 GET 请求并验证 Referer。

用中间件拦截 public 目录下的图片请求（如 /uploads/）

关键在于：不能让 Nginx/Apache 直接返回图片文件，否则中间件完全不生效。需确保所有图片请求都经由 Laravel 路由处理。常见做法是把图片路径统一代理到一个控制器方法，或改用 Storage::response() 动态输出。

• 把图片存放在 storage/app/public/，运行 php artisan storage:link 创建软链接
• 路由示例：

  Route::get('/uploads/{filename}', [ImageController::class, 'show'])->middleware('check.referer');

• 不要直接访问 /storage/uploads/xxx.jpg —— 这类路径绕过 Laravel，中间件无效
• Nginx 配置中需注释或移除对 public/storage 的直接静态文件服务规则（否则防盗链失效）

check.referer 中间件的具体实现要点

该中间件需提取 request()->headers->get('referer')，解析出来源域名，并与白名单比对。注意边界情况：

• Referer 可能为空（如直接在地址栏输入图片 URL、某些隐私模式、curl 默认不带）—— 应默认拒绝
• 允许空 Referer 的场景（如微信内置浏览器、部分 PWA）需显式配置开关，不建议默认开启
• 使用 parse_url($referer, PHP_URL_HOST) 提取 host，避免正则误匹配（如 evil.com.example.com）
• 白名单建议用数组配置在 config/app.php 或环境变量中，例如：IMAGE_REFERER_WHITELIST=['yourapp.com', 'localhost:8000']
• 匹配时建议转为小写并去除端口（preg_replace('/:\d+$/', '', $host)），避免 YOURAPP.COM 或 localhost:8000 被拒

public function handle(Request $request, Closure $next)
{
    $referer = $request->headers->get('referer');
    if (!$referer) {
        abort(403, 'Forbidden: Referer required');
    }
<pre class='brush:php;toolbar:false;'>$host = parse_url($referer, PHP_URL_HOST);
if (!$host) {
    abort(403, 'Forbidden: Invalid Referer host');
}

$host = strtolower(preg_replace('/:\d+$/', '', $host));
$whitelist = config('app.image_referer_whitelist', []);

if (!in_array($host, $whitelist)) {
    abort(403, 'Forbidden: Referer not allowed');
}

return $next($request);

}

性能与兼容性注意事项

每次图片请求都走 PHP 和中间件，对高并发场景有压力。生产环境强烈建议结合 CDN 或 Nginx 做前置校验，只将“无法判断”的请求（如带 query 参数的缩略图）交由 Laravel 处理。

• Nginx 示例（更高效）：

  location ~* \.(jpg|jpeg|png|gif)$ {
      valid_referers none blocked yourapp.com *.yourapp.com;
      if ($invalid_referer) {
          return 403;
      }
  }

• CDN（如 Cloudflare、阿里云 CDN）通常支持 Referer 黑白名单规则，优先启用
• 移动端 WebView、某些小程序可能不发送 Referer，需配合 token 签名方案（如 /uploads/xxx.jpg?token=sha256(...)）作为补充
• Chrome 85+ 对跨域请求默认使用 strict-origin-when-cross-origin，可能导致 Referer 被截断为 origin，需在白名单中包含完整 origin（含协议和端口）或仅比对 host

实际部署时，Referer 校验只是第一道防线；真正敏感的图片，仍需配合权限控制、临时签名 URL、水印、访问频率限制等组合策略。单靠中间件防不住抓包重放或 Referer 伪造。