PHP文件404通常不是防盗链导致,而是.htaccess中防盗链规则误匹配.php文件,如RewriteRule .* - [F]或未排除PHP的Referer校验所致。

PHP防盗链规则误拦404咋整_PHP防盗链404解除法【对策】 第1张

PHP 文件本身不会触发防盗链拦截——真正被拦的是它所引用的资源(比如图片、JS、CSS、下载链接),但如果你发现访问 about.phpapi.php 时直接返回 404,那大概率不是防盗链在起作用,而是防盗链规则写错了位置,误把 PHP 脚本当静态资源给“拒之门外”了

检查 .htaccess 是否用错 RewriteCond 判断来源

Apache 下常见的防盗链写法是靠 RewriteCond %{HTTP_REFERER} 拦非白名单域名的请求,但它必须配合正确的 RewriteRule 目标。很多人抄来一段规则,却没注意它是否覆盖了 .php

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https?://(www\.)?yourdomain\.com/ [NC]
RewriteRule \.(jpg|jpeg|png|gif|js|css|pdf)$ - [F,NC]

这段规则本意是封掉盗链的图片和脚本,但若你手抖删了扩展名列表末尾的 $,或误写成:

RewriteRule .* - [F,NC]

那就全站 PHP 都进不去——因为 .* 匹配一切,包括 /contact.php,而 [F] 返回的是 403(禁止访问),但某些服务器配置下会 fallback 成 404,造成误判。

立即学习“PHP免费学习笔记(深入)”;

  • ✅ 正确做法:防盗链规则末尾必须限定扩展名,且用 $ 锚定结尾
  • ❌ 常见错误:用 .*^ 不加锚点、漏写 . 导致匹配到 php 字符串本身
  • ? 验证方式:临时重命名 .htaccess.htaccess.bak,刷新 PHP 页面看是否恢复

防盗链 + 重写共存时,规则顺序决定生死

很多项目既用了防盗链,又启用了 MVC 路由(如 Laravel、ThinkPHP 的 index.php 兜底),这时规则顺序一乱,about.php 就可能被先拦、后转、再 404。

典型错误配置:

RewriteEngine On
# ❌ 错:防盗链放最前,却没排除 .php
RewriteCond %{HTTP_REFERER} !^https?://(www\.)?myapp\.com/ [NC]
RewriteRule \.(jpg|png|js|css)$ - [F]

✅ 对:先放行真实存在的 .php 文件
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} .php$
RewriteRule ^ - [L]
再处理路由
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^(.*)$ index.php [QSA,L]
  • 规则按从上到下执行,[L] 表示“停在这儿别往下走了”
  • 如果防盗链规则没加 RewriteCond 排除 .php,它就可能对 xxx.php 生效,然后返回 403/404
  • Nginx 用户同理:检查 location ~* .(jpg|png)$ 块是否意外包含了 location ~ .php$ 的父路径

Referer 空值被误杀:本地开发 / CLI 请求也 404

防盗链常加这一行:

RewriteCond %{HTTP_REFERER} ^$

意思是“如果 Referer 为空,就拦截”。这在上线后没问题,但在以下场景会出事:

  • 你在本地用 php -S localhost:8000 启动内置服务器,浏览器直输 URL,Referer 天然为空
  • 用 Postman/curl 测试 API,没手动设 Referer
  • 某些 PWA 或 Electron 应用内嵌 WebView,Referer 不带或被清空

结果就是:连 https://www.php.cn/link/5fa721cf40f236351cbcc4a682abadc9 都 404。

  • ✅ 解决办法:把空 Referer 放进白名单,而不是拦掉 
  • RewriteCond %{HTTP_REFERER} ^$ [OR]
RewriteCond %{HTTP_REFERER} !^https?://(www\.)?myapp\.com/ [NC]
  • 更稳妥的做法是:只对静态资源做 Referer 校验,PHP 脚本一律不查

防盗链本身很干净,真正让 PHP 404 的,永远是规则写得太宽、顺序太随意、测试太依赖“线上表现”。动手前先问一句:这个规则,到底想拦谁?有没有漏掉例外?有没有比它更早的规则已经把它废掉了?