From a5548178da942909de9a63a71d3b7ffed2561551 Mon Sep 17 00:00:00 2001 From: valitovgaziz Date: Tue, 14 Oct 2025 12:47:37 +0500 Subject: [PATCH] modified: serv_nginx/api_bb/internal/handlers/user.go chang serveAvatar function --- serv_nginx/api_bb/internal/handlers/user.go | 63 +++++++++++++++++---- 1 file changed, 52 insertions(+), 11 deletions(-) diff --git a/serv_nginx/api_bb/internal/handlers/user.go b/serv_nginx/api_bb/internal/handlers/user.go index 951472d..5e4efbf 100644 --- a/serv_nginx/api_bb/internal/handlers/user.go +++ b/serv_nginx/api_bb/internal/handlers/user.go @@ -4,10 +4,12 @@ package handlers import ( "bytes" "encoding/json" + "fmt" "io" "net/http" "os" "path/filepath" + "strings" "time" "api_bb/internal/models" @@ -188,24 +190,63 @@ func (h *UserHandler) ServeAvatar(w http.ResponseWriter, r *http.Request) { zap.String("remote_addr", r.RemoteAddr), ) - // Используем http.ServeFile для эффективной отдачи файла + // Валидация + if filename == "" || strings.Contains(filename, "..") || strings.Contains(filename, "/") { + utils.RespondWithError(w, http.StatusBadRequest, "Invalid filename") + return + } + avatarPath := filepath.Join("./uploads/avatars", filename) // Проверяем существование файла - if _, err := os.Stat(avatarPath); os.IsNotExist(err) { + fileInfo, err := os.Stat(avatarPath) + if os.IsNotExist(err) { h.logger.Warn("avatar file not found", zap.String("path", avatarPath)) utils.RespondWithError(w, http.StatusNotFound, "Avatar not found") return } + if err != nil { + h.logger.Error("failed to access file", zap.Error(err)) + utils.RespondWithError(w, http.StatusInternalServerError, "File access error") + return + } - // Устанавливаем заголовки кэширования - w.Header().Set("Cache-Control", "public, max-age=31536000") - w.Header().Set("Expires", time.Now().Add(365*24*time.Hour).Format(http.TimeFormat)) - - // Отдаем файл - http.ServeFile(w, r, avatarPath) - - h.logger.Info("avatar served via ServeFile", + // Открываем файл + file, err := os.Open(avatarPath) + if err != nil { + h.logger.Error("failed to open file", zap.Error(err)) + utils.RespondWithError(w, http.StatusInternalServerError, "File open error") + return + } + defer file.Close() + + // Определяем Content-Type + ext := strings.ToLower(filepath.Ext(filename)) + contentType := "application/octet-stream" + switch ext { + case ".png": contentType = "image/png" + case ".jpg", ".jpeg": contentType = "image/jpeg" + case ".gif": contentType = "image/gif" + case ".webp": contentType = "image/webp" + } + + // ✅ Устанавливаем ВСЕ заголовки + w.Header().Set("Content-Type", contentType) + w.Header().Set("Content-Length", fmt.Sprintf("%d", fileInfo.Size())) + w.Header().Set("Cache-Control", "public, max-age=31536000") // 1 год + w.Header().Set("Last-Modified", fileInfo.ModTime().Format(http.TimeFormat)) + + // Копируем файл в ResponseWriter + _, err = io.Copy(w, file) + if err != nil { + h.logger.Error("failed to send file", zap.Error(err)) + // Не отправляем ошибку - соединение уже испорчено + return + } + + h.logger.Info("avatar served successfully", zap.String("filename", filename), + zap.String("content_type", contentType), + zap.Int64("file_size", fileInfo.Size()), ) -} +} \ No newline at end of file