KPEBETKA 16 янв 2018 в 15:21

После прочтения сжечь. Делаем одноразовые ссылки на голом Nginx

7 мин

16K

Nginx*

Из песочницы

+30

Комментарии 18

romy4 16 янв 2018 в 15:43

Обожаю магию. Всякое нестандартное использование периодически выручает от более громоздких велосипедов и сторонних (вне nginx) скриптов.

KPEBETKA 16 янв 2018 в 16:23

Недостатки магии таковы, что её использование может выйти боком, даже если заклинания верные

romy4 19 янв 2018 в 00:40

В неопытных руках, но я опытный маг.

barbanel 16 янв 2018 в 16:55

Не используйте магию. Используйте силу! =)

Ordinatus 16 янв 2018 в 17:28

Запрещено использовать магию вне Хогвартса!

el777 16 янв 2018 в 23:54

Не очень понял такой момент — нельзя ли просто в location @delete переписать URL, дальше проксировать его и тем самым избавиться от if?

KPEBETKA 17 янв 2018 в 00:19

Именно в данном случае нет, потому что нам обязательно нужно провалидировать путь и получить из пути кусок, чтобы кто-то случайно, а может и специально, не подал на вход uri содержащий ../ или нечто подобное, что приведёт к удалению папки upload вместе со всеми остальными файлами. Впрочем, может быть я слишком перестраховываюсь. Но этот if не настолько плох, чтобы думать над тем, чтобы избавиться от него. Также хочу заметить, что если файлы будут загружаться и скачиваться из корня домена, то этот if можно убрать.

el777 17 янв 2018 в 00:58

Провалидировать можно с помощью самого регулярного выражения

KPEBETKA 17 янв 2018 в 00:57

Вы безусловно правы, от этого if можно легко избавиться даже в текущей ситуации, иб достаточно того, что путь валидируется ещё на этапе GET-запроса в первый location, а имя папки для удаления можно из него же записать в переменную вот так, которую после использовать в location delete

Для этого нужно немного поправить первый location

location ~ ^/uploads/(?<path>[\w]+)/([^/]*)?$ {
...
}

А location delete сделать таким

location @delete {
    set $token "cb110ef4c4165e495001e297feae7092";
    proxy_method DELETE;
    proxy_set_header Token $token;
    proxy_pass https://example.com/upload/$path/;
}

begemoth3663 17 янв 2018 в 00:06

попридираюсь к велосипеду:
cat /dev/urandom | head -c8 | xxd -ps | tr -d "\n"
заменить на
hexdump -n 16 -e '/4 "%x"' </dev/urandom

то же самое — cat лишний в cat /dev/urandom | tr -dc "[:graph:]"
можно заменить на tr -dc "[:graph:]" </dev/urandom

KPEBETKA 17 янв 2018 в 00:26

tr -dc "[:graph:]" </dev/urandom будет выполняться бесконечно

begemoth3663 17 янв 2018 в 14:55

а | head свой вы умышленно забыли? ;)

KPEBETKA 17 янв 2018 в 17:18

Случайно. Впредь буду внимательнее

playnet 17 янв 2018 в 17:35

даже если через head и прочее — cat /dev/urandom | head -c16 очень легко превращается в head -c16 /dev/urandom. Это даже забыв про hexdump и подобное.

KPEBETKA 17 янв 2018 в 23:23

Учёл замечания в статье. Спасибо

xXxSPYxXx 17 янв 2018 в 10:50

Все if с проверкой метода заменить на limit_except.
http://nginx.org/ru/docs/http/ngx_http_core_module.html#limit_except

KPEBETKA 17 янв 2018 в 14:57

Всё верно, но не стал использовать по причине того, что если разрешить GET, то автоматом будет разрешён HEAD. Таким образом в случае если какой-то из клиентов сделает HEAD перед тем как скачать файл, то файл будет удалён, но при этом отдан не будет.
Также подобные if вполне укладываются в допустимые, т.к. «The only 100% safe things which may be done inside if in a location context are:
return ...;
rewrite… last;»

gryzwold 11 апр 2018 в 16:53

Для того чтобы работала докачка и файл удалялся только после полного скачивания нужно чуть подправить конфиг:
location delete {
proxy_method DELETE;
proxy_set_header Token «cb110ef4c4165e495001e297feae7092»;
if ($request_completion = OK){
proxy_pass example.com/upload$folder/;
}
}

Зарегистрируйтесь на Хабре, чтобы оставить комментарий