---
title: Nginx: Hotlink-Schutz per Rewrite — isla Studio
url: https://isla-stud.io/howtos-anleitungen/nginx-hotlink-schutz/
date: 2016-01-31
---

# Nginx: Hotlink-Schutz per Rewrite

Nicht mal ein Backlink zur eigenen Website ist vorhanden, es sei denn der Content-Dieb hat den kompletten Inhalt einfach per Copy & Paste aus dem Quelltext in seine Website kopiert. Dann kann es schonmal vorkommen, dass man da irgendwo auf einen anderen eigenen Beitrag mit vollständiger URL verlinkt hat. Und dieser Link ist dann noch im Text enthalten. Aber erst einmal durchatmen und first things first:



Was ist ein Hotlink eigentlich?



Ein Hotlink ist zum Beispiel die Einbindung eines Bildes per direkter Verlinkung auf die vorhandene URL. Ohne das Bild zuvor herunterzuladen, es auf einen eigenen Webspace oder Server hochzuladen und es dann von dort zu verlinken.



Hotlinks sind nicht generell schlimm. Zumindest nicht, wenn das Hotlinking miteinander abgesprochen wurde oder wenn man ein Bilder-Uploadservice ist.In den meisten Fällen ist man jedoch kein Bilder-Uploadservice, sondern einfach nur jemand, der sein Webhosting jeden Monat brav bezahlt und ein bestimmtes Trafficlimit hat. Und hier kommen wir auch schon zum Kern des Pudels.Lässt nun jemand Fremdes Mediendateien auf seiner Homepage anzeigen, die auf Ihrem Webserver liegen, bedient Ihr Server jede dieser Fremd-Anfragen, weil das das ist was Server eben machen. Sie serven (dienen, leisten, servieren, bedienen).



Nun hat der Content-Dieb gratis ein Bild auf seiner Website, für das auf seinem eigenen Server kein Traffic erzeugt/berechnet wird. Dieser Traffic (Serverlast) wird dem Bestohlenen, also Ihnen weiter berechnet und kostet Serverressouren: und zwar jedes Mal, wenn ein Besucher auf die Content-Dieb-Seite surft und in seinem Webbrowser das Bild angezeigt wird.Unter Umständen kann so etwas zu unglaublichem Fremdtraffic führen. Je nachdem wieviel Besuchertraffic der Content-Dieb auf seiner Website hat.Das ist echt nicht witzig.



Ich möchte Ihnen heute zeigen, wie man den eigenen NGINX Webserver so konfigurieren kann, dass er diese Fremdanfragen nicht wie erwartet bedient, sondern stattdessen den Besuchern der Content-Dieb-Website ein anderes Bild serviert.So können Sie nämlich den vermeintlichen Schaden umkehren und daraus Nutzen ziehen und falls Sie richtig sauer sind, dem Dieb noch eins auswischen: holen Sie die Besucher auf Ihre eigene Website!



Wie Sie NGINX zum unbezwingbaren Hotlink-Endgegner machen!



So sieht der Plan aus:



 Wir wollen eine übergreifende Lösung, die für alle Domains funktioniert. So, dass man nicht jede einzelne vHost Konfiguration (sites-available) anpassen muss. Es soll der Anfragelink umgeschrieben (rewrite) und so stattdessen ein bestimmtes, anderes Bild an die Diebesseite bedient werden Es muss mit Google Bildersuche und anderen Suchmaschinen mit Bildersuchfunktion funktionieren, anstatt das Hotlinking pauschal zu verbieten. Ansonsten werden in der Google Bildersuche nicht mehr Ihre eigentlichen Bilder angezeigt, sondern immer nur das Austausch-Bild



Lösung des Bilderdiebstahls



Diese wenigen Codezeilen sind letztendlich die Lösung des Problems mit dem Bilderdiebstahl. Wie und wo Sie den Code platzieren müssen erfahren Sie im nächsten Abschnitt.



location ~* \.(ogg|ogv|svg|svgz|eot|otf|woff|mp4|ttf|css|rss|atom|js|jpg|jpeg|gif|png|ico|zip|tgz|gz|rar|bz2|doc|xls|exe|ppt|tar|mid|midi|wav|bmp|rtf|swf)$ {
  add_header "Access-Control-Allow-Origin" "*";
  access_log off;
  log_not_found off;
  expires max;
  valid_referers none blocked ~.google. ~.bing. ~.yahoo. ~.yandex. server_names ~($host);
    if ($invalid_referer) {
      rewrite (.*) /hotlink/achtung-inhalts-und-bilderklau.png redirect;
      }
}
#hotlink weiterleitungsloop beenden
location = /hotlink/achtung-inhalts-und-bilderklau.png { }



Was macht der Code?



~ wird verwendet, um Groß-/Kleinschreibung zu berücksichtigen, während ~* Groß-/Kleinschreibung ignoriert.



NGINX überprüft die locations-Regel in der Reihenfolge, in der die regulären Ausdrücke eingefügt sind. Das bedeutet, dass sich die Caching Header-Anweisungen für Mediendateien und die Anweisungen unseres Hotlink-Schutzes im selben Block befinden müssen!



location = /hotlink/achtung-inhalts-und-bilderklau.png { } wird benötigt, damit bei der neuen Anfrage auf das Austauschbild, kein unendlicher Weiterleitungsloop entsteht:
Bilderdiebseite sendet Anfrage für BildA → unser NGINX leitet die Anfrage nach Austauschbild um → Bilderbiebseite sendet Anfrage für Austauschbild → unser NGINX leitet die Anfrage nach Austauschbild um, servt aber nicht → und so weiter…







$host ist eine Variable, die diese Anweisung global nutzbar macht und unter allen vHost-Domains auf dem Webserver funktioniert. Folgende URL wird für jede Domain gültig ausgegeben: http://$host/hotlink/achtung-inhalts-und-bilderklau.png



Es sollte lediglich unter jeder Domain das Verzeichnis /hotlink angelegt werden und eine Bilddatei mit dem Namen: achtung-inhalts-und-bilderklau.png in diesem Verzeichnis abgelegt werden. Sie können die Datei und das Verzeichnis auch anders nennen, wenn Sie möchten. Passen Sie nur den Code entsprechend an.



So binden Sie die Location-Regel ein





So gehen Sie vor, um Ihren NGINX Webserver mit diesem besonderen Hotlink-Schutz gegen Bilderdiebstahl auszustatten.


Gesamtzeit: 30 Minuten


Vorbereitungen: Austauschgrafik erstellen und hochladen
Erstellen Sie zunächst eine Grafik, die die Besucher der Diebes-Website sehen sollen und laden Sie diese in das gewünschte Verzeichnis auf Ihrem Webserver. Notieren Sie sich die URL der Grafik.



NGINX Webserser locations Konfiguration anpassen
Auf Ihrem Server navigieren Sie nun in das Verzeichnis /etc/nginx/common/ und finden Sie die in den Serverblock Ihres vhost eingebundene locations Konfiguration, in der für die im obigen Code definierte location Regeln vorhanden sind. In der Regel wird es bereits einen vorhandenen Regelblock für die genannte location geben. Falls nicht, fügen Sie den obigen Code einfach als neuen Regelblock in die richtige Datei ein.Ist der Block bereits vorhanden, fügen Sie nur die obigen Regeln ein ohne den locations wrap.



NGINX Webserver Konfiguration speichern und neuladen
Anschließend speichern Sie die Konfigurationsdatei mit dem erweiterten locations-Block auf dem Server ab und testen Sie die neue Konfiguration zunächst über das SSH Terminal mit nginx -tIst der Test ohne Beanstandungen durchgegangen, starten Sie Ihren NGINX mit dem Befehl service nginx restart neu.










Testen Sie Ihren Hotlink-Schutz!



Hier habe ich Ihnen ein Tool geschrieben, mit dem Sie Ihre Hotlink-Schutz-Konfiguration testen können. Geben Sie in das Eingabefeld die direkte URL für eine Grafik auf Ihrem nginx Server ein. Im Ausgabefeld darunter sollte dann im Optimalfall Ihr Austauschbild angezeigt werden. Wenn das Bild von der eingegebenen URL erscheint, müssen Sie Ihren Hotlink-Schutz nochmal kontrollieren.



Wenn Sie den Test mehrmals hintereinander für dieselbe Bild-URL machen möchten, müssen Sie Ihren Browsercache nach jedem Test löschen und diese Seite neu laden.



 Bild-URL prüfen







Haben Sie noch Fragen? Dann zögern Sie nicht und nutzen Sie die Kommentarfunktion unterhalb dieses Beitrags!



Bitte teilen Sie diesen Artikel auf Ihrer Facebook-Seite, über Twitter, Google+ oder eine andere soziale Plattform Ihrer Wahl. Weiter unten finden Sie die Teilen-Buttons. Das Teilen ist einfach und schnell und es würde mich sehr freuen.