Thumbor

Thumbor

关注
发信
关注(28)粉丝(399)

linux - 如何配置Thumbor安全性?

我已经在带有docker容器的Ubuntu上安装了thumbor 6.3.2。

我正在尝试忽略安全配置。但我失败了
以下是我的/etc/thumbor.conf

SECURITY_KEY = "abcde"
ALLOW_UNSAFE_URL = False

我尝试了
thumbor -l INFO -p 8000 -c /etc/thumbor.conf

然后我发了
/abcde/300x300/image.jpg

但是失败了。

奇怪,
/unsafe/300x300/image.jpg

这是成功的。

我该如何配置Thumbor安全性?

最佳答案

我可以使用SECURITY_KEY设置Thumbor。

我开始使用thumbor docker image像这样:

docker run -p 8000:8000 -e SECURITY_KEY=test -e ALLOW_UNSAFE_URL=False apsl/thumbor

并从互联网上选择了一张随机图片-https://rak-posts.s3.amazonaws.com/images/2943/large_rak_day.png

然后,我使用以下python代码生成了base64.urlsafe_b64encode签名:
>>> message = "1000x1000/https://rak-posts.s3.amazonaws.com/images/2943/large_rak_day.png"
>>> b_message = bytes(message)
>>> b_key = bytes("test")
>>> import hmac
>>> import hashlib
>>> digester = hmac.new(b_key, b_message, hashlib.sha1)
>>> signature = digester.digest()
>>> import base64
>>> url_safe_sign = base64.urlsafe_b64encode(signature)
>>> url_safe_sign
'_gcJOPfrByOrMqDekEool4uKYKE='
>>>

并像这样进行URL调用-http://localhost:8000/_gcJOPfrByOrMqDekEool4uKYKE=/1000x1000/https://rak-posts.s3.amazonaws.com/images/2943/large_rak_day.png-可以正常工作。

不安全的URL-http://localhost:8000/unsafe/1000x1000/https://rak-posts.s3.amazonaws.com/images/2943/large_rak_day.png-不再起作用。

让我知道是否有帮助。

谢谢,
侯赛因·博赫拉

关于linux - 如何配置Thumbor安全性?,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/50266814/

10-12 22:39
Powered by LMLPHP ©2024 Thumbor 0.025084