前几天小陶的网站又被攻击了，被直接攻击到欠费这种，虽然本来也就没几块钱。今天看了看一个小时里产生的几百MB日志，发现了一个规律，就是访问的资源URL和Referer是一模一样的。我之前图省事，防盗链都是设置的*.52txr.cn。

事实上我的网站采用了动静分离的设计，也就是图片和各种静态资源都是放在一个子域名里，在被攻击的域名正好就就是这个子域名。

现在改为只能www.52txr.cn了，他这攻击脚本就被防盗链阻止了。因为my.52txr.cn域名不能请求my.52txr.cn路径下的资源。

虽然这样不能在根本上解决什么问题，但是能在一定程度上完善了漏洞，防止再被这类自动化脚本攻击。

这里也建议大家不要使用通配符防盗链，会让有的人有机可乘了。