Q&A
ご回答ありがとうございます。
public配下には置かないという方法は思いついてはいるのですが、現状運用しているシステムであり、アップデートには大幅な変更が必要となるため、とりあえず、public配下のままでアクセス制限を行う方法を考えている状況です。
いつもお世話になっております。
現在 Railsでwebページを作成し運用しております。
中身はSNSようなイメージで、ユーザーがアップロードした画像や写真を見ることができるサービスとなっており、中の写真等はログインしないと見れないような仕組みで作っております。
アップロードした画像はpublic/uploadsフォルダにリサイズされ格納されている状態であり、URLからpublic配下に直接アクセスすると画像が表示できてしまいます。
現在Nginxとpumaで運用している状況であり、public配下へのURLからの直接アクセスをsecure_linkを利用してうまく制限したいと考えているのですが、あまり記事がなくこちらに質問させていただきました。
https://ドメイン/public/xxxx/yyyy.png
のような直接アクセスは禁止するが、ページのソース(html)である
src="/xxxx/yyyy.png"
からはアクセスできるというようなことは可能でしょうか。
参考になるサイトでも構いませんので、ご教示いただけますと幸いです。
回答2件
0
ページのソース(html)である
src="/xxxx/yyyy.png"
からはアクセス
これがnginxに対する直接アクセスに当たりますので、
https://ドメイン/public/xxxx/yyyy.png
のような直接アクセスは禁止する
のであれば、src="/xxxx/yyyy.png"は使えないでしょう。
どうしても直接アクセスを禁止したいのであれば、
src="/xxxx/yyyy.png"
を使わずに画像を表示する方法を探して適用することになりそうです。
経験がないため、そんな方法があるのかどうかはわかりません。
そういえば昔ちょっと変わった方法で画像を表示させたことがありました。
src=/controller名/action名/パラメータたち
でも
image_tag image_path <= アクションのpathを指定
でもいいのですが、
ruby
1# controller 2def アクション名 3 # ここでどうにかして直接アクセスを禁止....できるかな 4 png_path = パラメータを使ってファイルパスを取得 5 send_data(File.read(png_path), disposition: 'inline') 6end
こんな風にしても画像は表示出来た気がします。
ブラウザごとの検証が大変だとは思います。
iwamotさんが挙げられているようなwebサーバー側での対処は経験がないため回答ができず申し訳ありません。
投稿2019/04/27 17:50
編集2019/04/27 18:06
総合スコア1382
0
src="/xxxx/yyyy.png?zzzzzzzzzzzzz" と推測しにくいトークンを付け、それが付いていなければWebサーバで拒否するという案が浮かびました。ただ、運用が大変だったり、トークンが漏れたときの考慮が必要だったり、ちょっと厳しそうな気はします。
ぼくが実装するなら、public配下には置かず、コントローラで認証とファイル出力を行う方法をまず検討します。
投稿2019/04/19 10:21
総合スコア1154
となれば、第三者に推測できないトークンをクエリストリングなりCookieなりリクエストヘッダなりでもらうようにして、Webサーバでチェックする方法くらいしか浮かばないですね。
あるいは、Railsでpublic配下へのアクセスをフックできる仕組みがあるなら、それを活用する感じでしょうか。そのような仕組みがあるのかどうかは知らないです。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。