Как в конфиге NGINX запретить напрямую доступ к файлу кроме запросов с определенного домена?

Question

[Cheizer]

Есть сайт site1.com, на нем в папке files лежит файл file.tpl, есть еще и второй сайт site2.com, на котором я вывожу содержимое файла site1.com/files/file.tpl.

Как на первом сайте в конфиге NGINX запретить обращаться напрямую к файлу site1.com/files/file.tpl, но при этом разрешить обращаться к этому файлу с домена site2.com?

Пробовал так:

location ~* ^.+\.(?!html|php)[^.]+$ {
   if ($http_referer !~* (site2\.com)) {
       return 403;
    }
}

Закрывает обращение к файлу напрямую, но и закрывает от второго сайта, проверка не работает. Пробовал и другие варианты, ничего не работает.

Answer 1

[Roman]

Для запрета напрямую доступа к файлу кроме запросов с определенного домена вам необходимо использовать директиву valid_referers в блоке location.

Вот пример конфигурации:

nginx
server {
    listen 80;
    server_name example.com;

    location /path/to/file {
        valid_referers none blocked example.com;
        if ($invalid_referer) {
            return 403;
        }
        
        # Дополнительная конфигурация для доступа к файлу
    }

    # Другая конфигурация сервера
}

В данном примере, example.com является разрешенным доменом, с которого разрешены запросы к файлу по указанному пути /path/to/file. Если запрос идет с другого домена или напрямую, то сервер возвращает код состояния 403 "Forbidden".

Обратите внимание на необходимость добавления модуля ngx_http_referer_module при сборке NGINX, так как эта директива зависит от него.

Comments

[Cheizer]

Интересно, спасибо, мне кажется у меня не работает проверка
if ($invalid_referer) {
return 403;
}
пробовал подобный вариант, как проверить установлен ли ngx_http_referer_module ?

[Roman]

Cheizer, как проверить есть ли модуль:
1. Проверьте наличие файла конфигурации nginx. По умолчанию, файл конфигурации называется nginx.conf и может находиться в различных местах, таких как /etc/nginx/nginx.conf, /usr/local/nginx/conf/nginx.conf, или/usr/local/etc/nginx/nginx.conf. Если вы используете пользовательский файл конфигурации, убедитесь, что вы проверяете тот файл, который используется в вашей системе.

2. Откройте файл конфигурации с помощью текстового редактора.

3. Проверьте наличие строки, указывающей на модуль ngx_http_referer_module. Обычно, эта строка будет выглядеть примерно так:

load_module modules/ngx_http_referer_module.so;

[Roman]

Cheizer, а вообще лучше доверьте хостингу установку модуля, я думаю они вам помогут быстро

[Cheizer]

Роман Страх, ох, боюсь у меня только fastpanel и ssh можно как то проверить наличие модуля без доступа к файлу конфигурации?

[Roman]

Cheizer, Через FastPanel:
1. Войдите в панель управления FastPanel с использованием своих учетных данных администратора.
2. Найдите раздел, связанный с Nginx или веб-сервером.
3. Проверьте список доступных модулей и найдите ngx_http_referer_module. Если вы найдете его в списке, значит модуль установлен.

Через SSH:
1. Подключитесь к серверу с использованием SSH-клиента, такого как PuTTY.
2. Введите следующую команду, чтобы проверить, установлен ли модуль ngx_http_referer_module:

bash
   nginx -V 2>&1 | grep -o with-http_referer_module

Если вывод команды пустой, то модуль не установлен. Если в выводе есть with-http_referer_module, значит модуль установлен.

Убедитесь, что имеете достаточные права доступа для выполнения этих действий. Если вы не видите модуля в списке или не получаете результат при выполнении команды, это означает, что модуль ngx_http_referer_module не установлен и вам нужно будет выполнить установку.

[Cheizer]

Роман Страх, ответ по ssh пустой на nginx -V 2>&1 | grep -o with-http_referer_module

получил от поддержки непонятное:

Добавлен для проверки valid_referers в файл конфигурации согласно этой странице, а затем удалена строка после тестирования:
https://nginx.org/en/docs/http/ngx_http_referer_mo...

Ошибок не обнаружено, переменная valid_referers найдена, это означает, что этот модуль уже установлен, возможно, он является частью ядра nginx.

вроде установлен модуль, но не понимаю, почему по ssh тогда ответ пустой как будто не установлен модуль

[Roman]

Cheizer, возможно он должен быть как отдельный модуль, не как часть ядра