如何为Nginx 配置防盗链功能？

cat /etc/nginx/conf.d/default.conf

server {

   #..其它配置项目省略
    
   # 上传图片目录
    location ^~ /attachments {
        alias /data/uploads/;
        expires 180d;
        
       valid_referers none blocked 
                                       *.demo.com demo.com
                                       ~\.demo\.;
       if ($invalid_referer) {
            return 403;
        }
    }
}

nginx -t && nginx reload

请求1，没有带`referer`信息，相当于直接在浏览器打开这个URI，匹配参数 "None"。

请求2，虽然有带`referer`信息，但值不是以"http(s)://"开头的字符串，匹配参数 "blocked"。

请求3，带有正确主机名`referer`信息，匹配参数 "server_names"，这也是浏览器中正常请求。

请求4，带有域外的主机名`referer`信息，"表示这个请求是从百度页面里的链接进入的"，按照规则                     $invalid_referer 变量被设置为 1 ，最终服务器返回 403状态码，完成防盗链。

语法: valid_referers none|blocked|server_names string ...;
默认值: no
使用字段: server, location
功能: 此指令在 referer头的基础上为 $invalid_referer 变量赋值，可以实现简单的防盗链功能。 
如果 valid_referers列表中没有匹配Referer请求头，$invalid_referer将被设置为1，否则为0(或空值)。

参数:
none
    请求头中不存在 Referer字段('空值'，比如直接在浏览器打开一个图片URI)。
blocked
    请求头中存在 Referer字段，但值不是以"http(s)://"开头的字符串(被防火墙或代理服务器修改删除)。
server_names
     Referer字段包含服务器名称。
arbitrary string
    定义服务器名称和可选 URI前缀，服务器名称的开头或结尾可以有一个"*"。
regular expression
    使用正则匹配，第一个符号为"~"。

示例:
    valid_referers none blocked server_names
                   *.example.com example.* www.example.org/galleries/
                   ~\.google\.;

    if ($invalid_referer) {
        return 403;
    }