Как правильно использовать valid_referers в Nginx?

Question

[Alex]

Решил попробовать сделать защиту от хотлинка. Сразу же вышло решение:

location ~* \.(js|css|png|jpg|jpeg|gif|ico)$ {
    				valid_referers none blocked my.domain.ru www.my.domain.ru;
				    if ($invalid_referer) {
				        return   403;
				    }
                expires max;
                log_not_found off;
    }

Однако после nginx -s reload ничего не изменилось. Пробовал вставить изображение в codepen и jsfiddle - всё работает и не блокируется.
Решил проверить работу раздела вообще и поменять домен на левый, все перечисленные файлы сразу же ушли в 403, т.е. если меняешь домен все хорошо. Однако ставишь если свой, то вставляя картинку в jsfiddle и codepen все норм.

Посмотрел потом доки NGINX написано $invalid_referer Пустая строка, если значение поля “Referer” заголовка запроса считается правильным, иначе “1”.
Попробовал поменять на if ($invalid_referer = "1") {, тоже результата нет.

Поясните, пожалуйста, как это вообще работает?

Comments

[Дмитрий]

nginx hotlink protection в гугл

[Alex]

Дмитрий, научитесь читать вопросы, или лучше не комментируйте вообще)

[Дмитрий]

alexjet73, ну как я понял вы хотите сделать hotlinking

[Alex]

Дмитрий, Вы правильно поняли, только прежде чем посылать в гугл, стоит прочитать, что я взял решение оттуда, однако оно не работает так как я предполагал.
Первая же ссылка даёт подобный код, как и у меня выше.

[Дмитрий]

alexjet73, пробуйте другой источник, раз этот не работает

[Alex]

я если честно с десяток перепробовал предлагаемые примеры, однако ничего не изменилось. Как были доступны файлы в codepen и jsfiddle так и оставались доступными. Единственное когда срабатывало условие if ($invalid_referer) {return 403;} - это при замене домена в строке valid_referers и тут уже выкидывало 403 ошибку на эти файлы, но уже везде естественно.
Поэтому интересно узнать кто сталкивался с подобным или понимает в чем ошибка. Так как примеры везде практически одинаковые, но не понятно почему не отрабатываются эти правила.

[Alex]

Дмитрий, кстати в первом сайте по результату nginx hotlink protection в гугл, в комментах пишут что с 2018 года этот код не работает почему то.

Answer 1

[Alex]

Нашел решение, на одном сайте в комментах. И оно сработало для меня.
Убрать none в строке valid_referers none blocked my.domain.ru www.my.domain.ru;

Буду благодарен, если кто подскажет причину почему с none не работало. Ведь в доках NGINX пишется пример именно с none (как параметр отсутствия Referer)?!

Comments

[Lynn «Кофеман»]

Вангую, что у вас сайт по http.
Браузеры по умолчанию не передают реферер если запрос идёт с https на http.

[Alex]

Алексей Тен, нет. Сайт на https.

Я сейчас и blocked убрал. Если правильно понял, то none и blocked по сути говорят о том, что проверку пройдут запросы где рефер либо пустой, либо заблокировался файрволом.
Т.е. по сути любой запрос без рефера проходит проверку.
Теперь после того как убрал none - все работает как надо. Единственное вариант не подойдет если сайт должен индексироваться роботами гугла, тут могут возникнуть проблемы с ранжированием.

Answer 2

[Бахадыр Ишматов]

напишу для тех у кого такие же проблемы, как у топикстартера

valid_referers none blocked server_names ~(\.yandex\.|\.google\.);
if ($invalid_referer) {
rewrite (.*)\.(jpg|jpeg|png|gif)$ [ссылка куда редиректить];
или
return 403; //блокируем 
}

если нужно заблокировать доступ к url на вашем сайте, всем кроме нужных referer:

location ~ "[ссылка на вашем сайте]" {
try_files $uri $uri/ /index.php?$args;
valid_referers none blocked server_names ~(\.yandex\.|\.google\.);
if ($invalid_referer) { return 403;  }
}

пояснение:
server_names - это ваш домен, не нужно вписывать что-то типа my.domain.com
если убрать [none blocked] эти = ~(\.yandex\.|\.google\.) блокнуться (у автора топика нет внешних источников, поэтому [none blocked] мешало)

добавлять нужно в location соблюдая последовательность — вставите не в тот location, работать не будет!