PHP文件404通常不是防盗链导致,而是.htaccess中防盗链规则误匹配.php文件,如RewriteRule .* - [F]或未排除PHP的Referer校验所致。
PHP 文件本身不会触发防盗链拦截——真正被拦的是它所引用的资源(比如图片、JS、CSS、下载链接),但如果你发现访问 about.php 或 api.php 时直接返回 404,那大概率不是防盗链在起作用,而是防盗链规则写错了位置,误把 PHP 脚本当静态资源给“拒之门外”了。
Apache 下常见的防盗链写法是靠 RewriteCond %{HTTP_REFERER} 拦非白名单域名的请求,但它必须配合正确的 RewriteRule 目标。很多人抄来一段规则,却没注意它是否覆盖了 .php:
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https?://(www\.)?yourdomain\.com/ [NC]
RewriteRule \.(jpg|jpeg|png|gif|js|css|pdf)$ - [F,NC]这段规则本意是封掉盗链的图片和脚本,但若你手抖删了扩展名列表末尾的 $,或误写成:
RewriteRule .* - [F,NC]
那就全站 PHP 都进不去——因为 .* 匹配一切,包括 /contact.php,而 [F] 返回的是 403(禁止访问),但某些服务器配置下会 fallback 成 404,造成误判。
$ 锚定结尾 .*、^ 不加锚点、漏写 . 导致匹配到 php 字符串本身 .htaccess 为 .htaccess.bak,刷新 PHP 页面看是否恢复很多项目既用了防盗链,又启用了 MVC 路由(如 Laravel、ThinkPHP 的 index.php 兜底),这时规则顺序一乱,about.php 就可能被先拦、后转、再 404。
典型错误配置:
RewriteEngine On
# ❌ 错:防盗链放最前,却没排除 .php
RewriteCond %{HTTP_REFERER} !^https?://(www\.)?myapp\.com/ [NC]
RewriteRule \.(jpg|png|js|css)$ - [F]
✅ 对:先放行真实存在的 .php 文件
RewriteCond %{REQUEST_FILENAME} -f
RewriteCond %{REQUEST_FILENAME} .php$
RewriteRule ^ - [L]
再处理路由
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUE
ST_FILENAME} !-d
RewriteRule ^(.*)$ index.php [QSA,L]
[L] 表示“停在这儿别往下走了” RewriteCond 排除 .php,它就可能对 xxx.php 生效,然后返回 403/404 location ~* .(jpg|png)$ 块是否意外包含了 location ~ .php$ 的父路径防盗链常加这一行:
RewriteCond %{HTTP_REFERER} ^$意思是“如果 Referer 为空,就拦截”。这在上线后没问题,但在以下场景会出事:
php -S localhost:8000 启动内置服务器,浏览器直输 URL,Referer 天然为空 Referer 头 结果就是:连 https://www./link/5fa721cf40f236351cbcc4a682abadc9 都 404。
RewriteCond %{HTTP_REFERER} ^$ [OR]
RewriteCond %{HTTP_REFERER} !^https?://(www\.)?myapp\.com/ [NC]防盗链本身很干净,真正让 PHP 404 的,永远是规则写得太宽、顺序太随意、测试太依赖“线上表现”。动手前先问一句:这个规则,到底想拦谁?有没有漏掉例外?有没有比它更早的规则已经把它废掉了?