不可靠,因HTTP_REFERER可被伪造或丢失;应仅作辅助参考,禁用于鉴权;有效校验需服务端URL签名+PHP中转输出+CDN鉴权联动。
PHP 中用 $_SERVER['HTTP_REFERER'] 做基础来源校验可行但不可靠
直接读取 $_SERVER['HTTP_REFERER'] 是最常见做法,但它由浏览器提供,可被任意伪造或完全不发送(如从书签、HTTPS 页面跳转到 HTTP 页面时会被清空)。仅靠它做权限控制等于没控制。
实操建议:
- 只把它当作辅助参考,**绝不能用于鉴权或防盗链核心逻辑**
- 若仅用于统计或灰度分流,需注意空值和跨协议丢失问题,务必先判空:
if (!empty($_SERVER['HTTP_REFERER'])) { ... } - 正则匹配推荐用
parse_url()解析后比对host,避免字符串匹配误伤子路径
真正有效的视频来源校验必须结合服务端签名(如 URL 签名)
把播放权限“绑定”到 URL 上,通过时间戳 + 密钥生成一次性签名,服务端在响应视频流前验证签名有效性。这是目前主流 CDN 和自建流服务的标准做法。
关键点:
立即学习“PHP免费学习笔记(深入)”;
- 签名参数至少包含:
file_path、t(过期时间戳)、sign(md5(file_path . t . secret_key)) - 校验时先检查
t是否过期(如time() > $_GET['t']),再重新计算签名比对 - 视频文件**不能直接暴露在 Web 目录下**,应由 PHP 脚本中转(用
readfile()或fopen()+fpassthru()),并在响应头中设置Content-Type和Accept-Ranges: bytes
用 header('X-Content-Type-Options: nosniff') 防 MIME 类型混淆
当视频通过 PHP 脚本输出时,若未显式指定 Content-Type,某些旧版浏览器可能根据文件内容“猜测”类型,导致绕过校验逻辑(比如把 PHP 脚本当成 MP4 执行)。
必须显式设置:
header('Content-Type: video/mp4');
header('Accept-Ranges: bytes');
header('X-Content-Type-Options: nosniff');
同时确保脚本开头无任何输出(包括 BOM、空格、echo),否则 header 会失败并触发 Cannot modify header information 错误。
CDN 场景下 PHP 校验要配合 CDN 的 Referer/Token 鉴权规则
如果视频实际走 CDN(如阿里云 VOD、腾讯云 CSS、Cloudflare),PHP 层的校验只是第一道关卡;CDN 侧必须开启并配置对应的鉴权策略,否则用户可直接构造 CDN 域名 URL 绕过你的 PHP 脚本。
典型配合方式:
- PHP 生成带时效 Token 的播放 URL(如
https://cdn.example.com/video.mp4?Expires=1717027200&OSSAccessKeyId=xxx&Signature=yyy) - CDN 后台配置「URL 鉴权」,启用时间戳+签名校验,并设置密钥与 PHP 一致
- PHP 不再直接输出视频流,而是 302 重定向到该 CDN 签名 URL(减少自身带宽压力)
注意:CDN 的签名算法(如阿里云是 HMAC-SHA1,Cloudflare 是简单 md5)必须与 PHP 实现严格一致,一个字符差异都会导致 403。
真实场景里,单靠 PHP 做来源校验几乎必然失效。重点不在“怎么写 if”,而在于把校验环节嵌入完整链路:PHP 控制 Token 生成与初始校验 → CDN 承担边缘鉴权与流量分发 → 视频文件存储隔离(如 OSS 私有桶 + 临时授权)。漏掉任一环,就等于没校验。
