$_SERVER[‘HTTP_REFERER’]不可信,因其可被客户端伪造且可能被浏览器清空,仅可作为第一道防线用于静态资源Referer检查,不可用于登录态或API鉴权。
判断 $_SERVER['HTTP_REFERER'] 是否可信
Referer 检查是最常用也最容易被绕过的手段,但仍是第一道防线。PHP 脚本在输出视频前应校验请求来源是否在白名单内。
注意:$_SERVER['HTTP_REFERER'] 可被客户端随意伪造,且部分浏览器或隐私插件会主动清空该字段(尤其 HTTPS → HTTP 跳转时),所以不能单独依赖它做最终授权。
- 只对静态资源(如
.mp4、.m3u8)的直链访问做 Referer 检查,不用于登录态或 API 鉴权 - 白名单建议用
parse_url()提取 host 后比对,避免子域名误判(例如允许example.com但拒绝evil.example.com) - 若主站启用了 CSP 或 Referrer-Policy:
no-referrer-when-downgrade,需预留 fallback 逻辑(如配合 token)
用一次性签名 URL 替代固定链接
核心思路是让每个视频 URL 带有时效性签名,过期即失效,从根本上杜绝长期盗链。
签名逻辑示例:拼接「资源路径 + 过期时间戳 + 密钥」后做 HMAC-SHA256,再将签名和过期时间作为查询参数附加到 URL 上。服务端收到请求时重新计算并校验。
立即学习“PHP免费学习笔记(深入)”;
function generateVideoUrl($path, $expires = 300) {
$secret = 'your_secret_key_here';
$expire_ts = time() + $expires;
$signature = hash_hmac('sha256', $path . '|' . $expire_ts, $secret);
return "/video.php?file={$path}&exp={$expire_ts}&sig={$signature}";
}
- 务必校验
$_GET['exp']是否未过期,且$_GET['sig']与当前参数重算结果一致 - 不要在 URL 中暴露原始文件系统路径,
$path应为预设的合法别名(如demo_2024),映射到真实路径由服务端控制 - 签名密钥必须严格保密,不可硬编码在前端或 Git 历史中
通过 PHP 输出视频流并设置响应头
不直接暴露视频文件物理路径,而是用 PHP 脚本读取、分片输出,并控制 HTTP 头防止缓存和跨域滥用。
关键点在于:禁用代理缓存、限制 MIME 类型、关闭 ETag、强制 Content-Disposition 为 inline(避免下载劫持)。
- 使用
fopen()+fread()分块读取,避免大文件内存溢出;配合ob_flush()和flush()实现流式传输 - 必须设置
header('Cache-Control: no-store, no-cache, must-revalidate, max-age=0'),否则 CDN 或浏览器可能缓存原始响应 - 对于 HLS 流(
.m3u8+.ts),需确保每个分片请求也都经过相同鉴权逻辑,不能只保护主 m3u8 文件
Web 服务器层配合(Nginx / Apache)
PHP 层逻辑再严密,若 Web 服务器直接暴露静态文件目录,所有防护都会失效。必须切断绕过 PHP 的直连路径。
Nginx 示例:把所有 /video/ 下请求转发给 video.php,禁止直接访问 .mp4 等扩展名。
location ^~ /video/ {
deny all;
}
location ~* /.(mp4|webm|ogg|m3u8|ts)$ {
deny all;
}
location /video.php {
internal;
alias /var/www/app/video.php;
}
-
internal;是关键——它让该 location 只能被 Nginx 内部重定向访问(如rewrite ... last或error_page),外部无法直接请求 - Apache 需用
mod_rewrite+RewriteRule将视频请求重写到 PHP 脚本,并在.htaccess中用FilesMatch禁止直接访问媒体文件 - CDN 用户要注意:部分 CDN 会忽略 PHP 的 header 设置,需在 CDN 控制台手动关闭“自动缓存静态类型”或配置缓存规则排除
/video.php
签名有效期、Referer 白名单更新机制、以及 Web 服务器配置三者必须同步生效,漏掉任意一环都可能让防护形同虚设。