<div dir="ltr">>><span style="font-size:12.8px">With the controls sites have over the referrer header, it's not very</span><br style="font-size:12.8px"><span style="font-size:12.8px">effective as an access control mechanism. You can use something like</span><br style="font-size:12.8px"><a href="http://nginx.org/en/docs/http/ngx_http_secure_link_module.html" rel="noreferrer" target="_blank" style="font-size:12.8px">http://nginx.org/en/docs/http/<wbr>ngx_http_secure_link_module.<wbr>html</a><br style="font-size:12.8px"><span style="font-size:12.8px">instead.</span><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">We're also using Nginx secure link module based on HASH + expiry but somehow this secure link is exploited by that website. The video link hash on his website is exactly matching with ours means no matter if hash get expire & new takes it place that leacher is also getting the new hash & we're unable to find how he exploited us. Though on digging more into this we found that he's using following script to fetch video links from our website : </span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px"><a href="https://github.com/XvBMC/repository.xvbmc/blob/master/plugin.video.saltsrd.lite/scrapers/dizibox_scraper.py">https://github.com/XvBMC/repository.xvbmc/blob/master/plugin.video.saltsrd.lite/scrapers/dizibox_scraper.py</a></span><br></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">His website name is also dizibox1.</span></div><div><span style="font-size:12.8px"><br></span></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Apr 5, 2017 at 1:54 AM, Francis Daly <span dir="ltr"><<a href="mailto:francis@daoine.org" target="_blank">francis@daoine.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Tue, Apr 04, 2017 at 04:39:23PM +0500, shahzaib mushtaq wrote:<br>
<br>
Hi there,<br>
<span class=""><br>
> Thanks for quick response. Well its reverse, he's putting our HTTPS video<br>
> link on his HTTP website. Could that create issue as well? If yes, what's<br>
> the fix of it.<br>
<br>
</span>nginx does not know (or care) what the linking site does. All it can<br>
see is the request made to it.<br>
<br>
The browser entirely controls what request headers the browser sends.<br>
<br>
If you want to deny all requests that have no Referer header, you can<br>
do that.<br>
<br>
If you want to deny only some requests that have no Referer header,<br>
you will need to tell nginx which requests to deny and which requests to<br>
allow. But before you can do that, you will have to know how to identify<br>
the requests in one of the sets.<br>
<span class="HOEnZb"><font color="#888888"><br>
        f<br>
--<br>
Francis Daly        <a href="mailto:francis@daoine.org">francis@daoine.org</a><br>
</font></span><div class="HOEnZb"><div class="h5">______________________________<wbr>_________________<br>
nginx mailing list<br>
<a href="mailto:nginx@nginx.org">nginx@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx" rel="noreferrer" target="_blank">http://mailman.nginx.org/<wbr>mailman/listinfo/nginx</a><br>
</div></div></blockquote></div><br></div>