Рэсайз малюнкаў на лета

Практычна ў любым вэб-прыкладанні які выкарыстоўвае выявы існуе патрэба фармаваць паменшаныя копіі гэтых малюнкаў, прычым часцяком, фарматаў дадатковых малюнкаў некалькі.
Гэтак жа выклікае некаторы галаўны боль даданне новых памераў на існуючым дадатку. Адсюль задача:

Задача

Абазначым спіс патрабаванняў:

• Фарміраваць дадатковыя выявы любых фарматаў на лета без унясення дадатковага функцыяналу ў дадатак у любы момант існавання прыкладання;
• Дадатковыя выявы не павінны фармавацца пры кожным запыце;
• Закрыць магчымасць фарміравання дадатковых выяў неўстаноўленых фарматаў.

Растлумачу апошні пункт, бо ён крыху супярэчыць першаму пункту. Калі мы зробім адкрытым фармаванне любых малюнкаў, то існуе магчымасць нападу на сайт шляхам фармавання вялікай колькасці запытаў на рэсайз малюнка ў бясконцую колькасць фарматаў, таму гэтую ўразлівасць патрабуецца зачыніць.

Канфігурацыя ўстаноўкі nginx

Для рашэння вышэйпаказаных патрабаванняў нам запатрабуецца наступны набор модуляў nginx:

• ngx_http_image_filter_module - Для рэсайзу малюнкаў;
• ngx_http_proxy_module - Для кэшавання;
• ngx_http_secure_link_module - Для абароны ад спаму;

модулі ngx_http_image_filter_module и ngx_http_secure_link_module па-змаўчанні не ставяцца таму іх трэба паказаць на этапе канфігурацыі ўстаноўкі Nginx:

phoinix@phoinix-work:~/src/nginx-0.8.29
$ ./configure --with-http_secure_link_module --with-http_image_filter_module


Канфігурацыя nginx

У канфігурацыю нашага хаста дадаем новы размяшчэнне і агульныя параметры кэша:

...
    proxy_cache_path /www/myprojects/cache levels=1:2 keys_zone=image-preview:10m;
...
    server {
...
        location ~ ^/preview/([cir])/(.+) {
        # Тип операции
            set                         $oper $1;
        # Параметры изображения и путь к файлу
            set                         $remn $2;
        # Проксируем на отдельный хост
            proxy_pass                  http://myproject.ru:81/$oper/$remn;
            proxy_intercept_errors      on;
            error_page                  404 = /preview/404;
        # Кеширование
            proxy_cache                 image-preview;
            proxy_cache_key             "$host$document_uri";
        # 200 ответы кешируем на 1 день
            proxy_cache_valid           200 1d;
        # остальные ответы кешируем на 1 минуту
            proxy_cache_valid           any 1m;
        }
        
        # Возвращаем ошибку
        location = /preview/404 {
            internal;
            default_type                image/gif;
            alias                       /www/myprojects/image/noimage.gif;
        }
...
    }
...


Таксама дадаем новы хост у канфіг:

server {
    server_name                     myproject.ru;
    listen                          81;

    access_log                      /www/myproject.ru/logs/nginx.preview.access_log;
    error_log                       /www/myproject.ru/logs/nginx.preview.error_log info;

    # Указываем секретное слово для md5
    secure_link_secret              secret;

    # Ошибки отправляем она отдельный location
    error_page                      403 404 415 500 502 503 504 = @404;

    # location Для фильтра size
    location ~ ^/i/[^/]+/(.+) {
        
        # грязный хак от Игоря Сысоева *
        alias                       /www/myproject.ru/images/$1;
        try_files                   "" @404;
    
        # Проверяем правильность ссылки и md5
        if ($secure_link = "") { return 404; }
        
        # Используем соответсвующий фильтр
        image_filter                size;
    }

    # По аналогии остальные location для других фильтров
    location ~ ^/c/[^/]+/(d+|-)x(d+|-)/(.+) {
        set                         $width  $1;
        set                         $height $2;
        
        alias                       /www/myproject.ru/images/$3;
        try_files                   "" @404;
    
        if ($secure_link = "") { return 404; }
    
        image_filter                crop  $width  $height;
    }
    
    location ~ ^/r/[^/]+/(d+|-)x(d+|-)/(.+) {
        set                         $width  $1;
        set                         $height $2;

        alias                       /www/myproject.ru/images/$3;
        try_files                   "" @404;

        if ($secure_link = "") { return 404; }

        image_filter                resize  $width  $height;
    }

    location @404 { return 404; }
}


У выніку дадатковыя выявы можна забіраць па спасылках:

• myproject.ru/preview/i[md5]/[path_to_image]
• myproject.ru/preview/c[md5]/[size]/[path_to_image]
• myproject.ru/preview/r[md5]/[size]/[path_to_image]

* try_files - адчувальны да прабелаў і рускіх сімвалаў, таму прыйшлося зрабіць мыліцу з псеўданім.

Выкарыстанне ў вэб-дадатку

На ўзроўні вэб-прыкладанні можна зрабіць наступную працэдуру (Perl):

sub proxy_image {
    use Digest::MD5     qw /md5_hex/;
    my %params = @_;
    my $filter = {
                    size    => 'i',
                    resize  => 'r',
                    crop    => 'c'            
                  }->{$params{filter}} || 'r';
    my $path = ($filter ne 'i' ?
                    ( $params{height} || '_' ) . 'x' . ( $params{width} || '_' ) . '/' :
                    ()
               ) . $params{source};
    my $md5 = md5_hex( $path . 'secret' );
    $path = '/preview/' . $filter . '/' . $md5 . '/' . $path;
    return $path;
}

my $preview_path = &proxy_image(
                    source  => 'image1.jpg',
                    height  => 100,
                    width   => 100,
                    filter  => 'resize'
                );


Хаця я б яшчэ рэкамендаваў разлічваць памеры папярэдні прагляд.

граблі

Пры выдаленні зыходнага малюнка, папярэдні прагляд, натуральна, выдаляцца з кэша не будуць пакуль кэш не інвалідыруецца, а ў нашым выпадку папярэдні прагляд могуць існаваць на працягу сутак пасля выдалення, але гэта максімум па часе.

арыгінал

Крыніца: habr.com