手把手教你用阿里云OSS设置Referer白名单，轻松防住WordPress图片盗链

你有没有发现，辛辛苦苦写的文章、拍的图，发到自己的WordPress博客上没多久，就被别的网站“顺手牵羊”拿去用了？更气人的是，他们不仅直接复制你的内容，还把你的图片资源链接也照搬过去，结果你自己网站的流量和服务器带宽却被白白消耗——这叫“盗链”，是很多博主都头疼的问题。

别急，今天我就来给你支个招：用阿里云OSS（对象存储服务）配合Referer白名单功能，彻底杜绝别人盗用你的图片资源。整个过程不复杂，哪怕你是技术小白，跟着我一步步操作，也能搞定。最关键的是，这方法稳定、高效，而且成本极低，特别适合个人博客和中小型网站。

什么是盗链？为什么它这么讨厌？

先来说说“盗链”到底是个啥。简单讲，就是别的网站在他们的页面里，直接引用你服务器上的图片地址。比如你在阿里云OSS上传了一张猫猫的照片，链接是：https://yourblog.oss-cn-beijing.aliyuncs.com/cat.jpg。这时候，如果另一个网站在他们文章里直接写：<img src="https://yourblog.oss-cn-beijing.aliyuncs.com/cat.jpg">，那这张图就会从你的OSS里加载出来，显示在他们的网页上。

听起来好像没啥问题？错！问题大了去了：

• 流量被偷跑：每次有人访问那个网站，都会触发一次对你OSS资源的请求，而OSS是按流量计费的。等于你在替别人买单。
• 服务器压力增加：虽然OSS抗压能力强，但频繁的无效请求会影响性能，严重时可能影响你自己的网站加载速度。
• 内容版权被侵犯：你的原创图片被随意使用，连个署名都没有，这谁受得了？

防盗链不是可有可无的功能，而是每个认真做内容的人必须掌握的基本技能。

阿里云OSS是怎么解决这个问题的？

阿里云OSS提供了一个非常实用的功能，叫做“Referer 防盗链”。它的原理其实很简单：通过判断HTTP请求头中的Referer字段，来决定是否允许访问某个资源。

举个例子：当你在自己网站的页面中加载一张OSS图片时，浏览器会自动带上一个Referer，比如https://www.yourblog.com/post/123，表示“我是从这个页面发起的请求”。而如果别人在他们的网站上引用你的图片，他们的页面URL就会成为Referer。

我们只需要在OSS控制台里设置一个白名单，规定只有来自你自己的域名（比如yourblog.com）的请求才被允许访问资源，其他来源一律拒绝。这样一来，别人就算拿到了你的图片链接，也无法在他们的网站上正常显示。

具体怎么设置？一步步来，不怕不会

下面我带你实操一遍，保证你五分钟就能搞定。

第一步：登录阿里云OSS控制台

打开浏览器，进入阿里云OSS管理控制台，用你的阿里云账号登录。如果你还没开通OSS服务，也不用担心，开通非常简单，而且新用户有不少免费额度可用。

第二步：找到你的Bucket（存储空间）

在控制台首页，你会看到你创建的所有Bucket。找到你用来存放WordPress媒体文件的那个Bucket，点击进入。

第三步：进入“权限管理” → “跨域设置与防盗链”

在左侧菜单栏，找到“权限管理”这一项，点击展开，选择“Referer 防盗链”或者“防盗链设置”（不同版本界面略有差异，但关键词是“Referer”）。

第四步：配置Referer白名单

这里有几个关键选项：

• 是否允许空Referer：建议勾选“是”。因为有些浏览器或直接访问链接的情况，Referer可能是空的，如果你不允许空Referer，可能会导致你自己也无法访问图片。
• Referer 白名单：这是重点！在这里填入你允许访问资源的域名。比如：
  • https://yourblog.com
  • https://www.yourblog.com
  • https://.yourblog.com（如果你有子域名）

注意：建议使用泛域名方式（.yourblog.com），以防漏掉某些子站。一定要加上https://前缀，避免HTTP/HTTPS混用导致问题。

第五步：保存设置

填完之后，点击“保存”按钮。设置立即生效，不需要重启服务或刷新缓存。

测试一下：看看防盗链是否生效

设置完成后，你可以做个简单测试：

1. 找一篇你博客里的文章，复制其中一张OSS图片的链接。
2. 新建一个HTML文件，写一段代码：<img src="你复制的链接">，然后在本地打开这个HTML文件。

你会发现，图片加载失败，或者显示一个禁止符号——说明防盗链起作用了！因为本地文件没有Referer，或者Referer不属于你白名单中的域名，OSS拒绝了请求。

再回到你自己的网站刷新页面，图片依然正常显示，完美！

配合WordPress使用，效果更佳

如果你是用WordPress，并且已经把媒体库对接到了阿里云OSS（比如通过“WP-OSS”这类插件），那么这套防盗链机制会自动覆盖所有上传的图片、视频等静态资源。

建议你在上传图片时，统一使用OSS的外链域名（比如yourblog.oss-cn-beijing.aliyuncs.com），而不是回源到你自己服务器的路径。这样防盗链才能精准生效。

如果你开启了CDN加速（比如阿里云CDN），记得也要在CDN控制台里配置Referer规则，双重保险更安全。

常见问题答疑

Q：设置了Referer白名单后，搜索引擎还能抓取我的图片吗？

A：完全没问题。主流搜索引擎（如百度、Google）在抓取图片时，通常是通过爬虫直接访问原图链接，Referer为空，而我们前面已经设置了“允许空Referer”，所以不影响SEO。

Q：会不会误伤自己人？比如微信公众号引用了我的图？

A：有可能。如果微信公众号文章里直接引用你的OSS图片链接，由于Referer不属于你的域名，会被拦截。解决办法有两个：一是引导对方下载后重新上传；二是如果你希望支持分享，可以把微信的域名（如mp.weixin.qq.com）也加入白名单，但要权衡风险。

Q：能不能只针对某些文件类型防盗链？

A：目前OSS的Referer设置是针对整个Bucket的，不支持按文件类型区分。如果你有特殊需求，可以考虑用CDN的高级规则来实现精细化控制。

省点钱，还能更划算

说到成本，很多人担心用OSS会不会很贵。其实完全不用担心！阿里云OSS按实际使用量计费，很多个人博客每月几块钱就够了。而且现在新用户有很多优惠活动。

趁现在还有福利，我建议你赶紧去领一张阿里云优惠券，购买OSS或者其他云产品时能省下不少钱。尤其是如果你打算长期运营网站，这些优惠积少成多，能帮你把成本压得更低。

小设置，大作用

防盗链看起来是个小功能，但它背后保护的是你的内容、你的时间、你的金钱。用阿里云OSS设置Referer白名单，操作简单，效果立竿见影，是每个WordPress博主都应该掌握的技能。

别再让别人白嫖你的图片资源了。花十分钟，按照我上面的步骤设置一下，从此安心写文章、放心传图片。你的原创，值得被尊重，也值得被保护。

如果你已经设置成功，欢迎在评论区留言“已防链成功”，咱们一起守住内容创作的底线！。