Default Uploader — сервис для загрузки, обработки и доставки видео и изображений
Российский аналог Cloudinary, Bytescale, Uploadcare, Imgx с уникальной бизнес моделью.
Российский аналог Cloudinary, Bytescale, Uploadcare, Imgx с уникальной бизнес моделью.
Злоумышленник перебором параметров запроса (?width=XXX) сможет либо высадить баланс, либо достигнуть ограничения по трансформациям (и тогда, если я правильно понял, будет возвращаться оригинальный файл). Это не очень хорошо.
Вижу смысл в создании некоторых предопределенных параметров трансформации с возможным подключением их к бакетам или папкам внутри.
Например: в папке avatars/small будут храниться кругляши 100х100, а в папке product/hires большие картинки 2048x512.
Соответственно, параметры преобразования передавать просто аргументом (например, ?transform=12), без раскрытия деталей и без возможности перебора злоумышленником.
Это опция называется «Асинхронные трансформации» — вы при загрузке файла, передаете список из нужных трансформаций и создаете нужный вам набор файлов. Так же сразу возвращается список урлов на эти файлы.
Да, этот способ защищает от абъюзинга!
так можно же просто hash секретный добавлять к УРЛу, который формируется для набора параметров по определнному правилу с доп. солью, тогда владелец контента может генерить любые параметры без нужды заранее определить их.
А, нет, туплю.