src/main.rs

mod app_state;
mod auth;
mod handlers;
mod lookup;
mod s3_utils;
mod security;
mod thumbnail;

use actix_cors::Cors;
use actix_web::{
    App, HttpServer,
    http::header,
    middleware::{DefaultHeaders, Logger},
    web,
};
use app_state::AppState;
use security::SecurityConfig;

use handlers::universal_handler;
use log::{info, warn};
use std::env;
use tokio::task::spawn_blocking;

#[actix_web::main]
async fn main() -> std::io::Result<()> {
    env_logger::init();
    warn!("Started");

    let port = env::var("PORT").unwrap_or_else(|_| "8080".to_string());
    let addr = format!("0.0.0.0:{}", port);
    let app_state = AppState::new().await;
    let app_state_clone = app_state.clone();

    // Используем spawn_blocking для работы, которая не совместима с Send
    spawn_blocking(move || {
        let rt = tokio::runtime::Handle::current();
        rt.block_on(async move {
            app_state_clone.cache_filelist().await;
        });
    });

    // Конфигурация безопасности
    let security_config = SecurityConfig::default();
    info!(
        "Security config: max_payload={} MB, timeout={}s",
        security_config.max_payload_size / (1024 * 1024),
        security_config.request_timeout_seconds
    );

    HttpServer::new(move || {
        // Настройка CORS middleware - ограничиваем в продакшене
        let cors = Cors::default()
            .allowed_origin("https://discours.io")
            .allowed_origin("https://new.discours.io")
            .allowed_origin("https://testing.discours.io")
            .allowed_origin("http://localhost:3000") // FIXME: для разработки
            .allowed_methods(vec!["GET", "POST", "OPTIONS"])
            .allowed_headers(vec![
                header::CONTENT_TYPE,
                header::AUTHORIZATION,
                header::IF_NONE_MATCH,
                header::CACHE_CONTROL,
            ])
            .expose_headers(vec![header::CONTENT_LENGTH, header::ETAG])
            .supports_credentials()
            .max_age(86400); // 1 день вместо 20

        // Заголовки безопасности
        let security_headers = DefaultHeaders::new()
            .add(("X-Content-Type-Options", "nosniff"))
            .add(("X-Frame-Options", "DENY"))
            .add(("X-XSS-Protection", "1; mode=block"))
            .add(("Referrer-Policy", "strict-origin-when-cross-origin"))
            .add((
                "Content-Security-Policy",
                "default-src 'self'; img-src 'self' data: https:; object-src 'none';",
            ))
            .add((
                "Strict-Transport-Security",
                "max-age=31536000; includeSubDomains",
            ));

        App::new()
            .app_data(web::Data::new(app_state.clone()))
            .app_data(web::PayloadConfig::new(security_config.max_payload_size))
            .app_data(web::JsonConfig::default().limit(1024 * 1024)) // 1MB для JSON
            .wrap(security_headers)
            .wrap(cors)
            .wrap(Logger::default())
            .default_service(web::to(universal_handler))
    })
    .bind(addr)?
    .run()
    .await
}
-.0.3-desirable

											
										
										
											2024-08-31 03:32:37 +03:00
+								mod app_state;
 								mod auth;
 								mod handlers;
-												docs

											
										
										
											2025-08-02 00:18:09 +03:00
+								mod lookup;
-.0.3-desirable

											
										
										
											2024-08-31 03:32:37 +03:00
+								mod s3_utils;
-												🔒 Implement comprehensive security and DDoS protection

### Security Features:
- **Rate Limiting**: Redis-based IP tracking with configurable limits
  - General: 100 requests/minute (5min block)
  - Upload: 10 requests/5min (10min block)
  - Auth: 20 requests/15min (30min block)
- **Request Validation**: Path length, header count, suspicious patterns
- **Attack Detection**: Admin paths, script injections, bot patterns
- **Enhanced JWT**: Format validation, length checks, character filtering
- **IP Tracking**: X-Forwarded-For and X-Real-IP support

### Security Headers:
- X-Content-Type-Options: nosniff
- X-Frame-Options: DENY
- X-XSS-Protection: 1; mode=block
- Content-Security-Policy with strict rules
- Strict-Transport-Security with includeSubDomains

### CORS Hardening:
- Limited to specific domains: discours.io, new.discours.io
- Restricted methods: GET, POST, OPTIONS only
- Essential headers only

### Infrastructure:
- Security middleware for all requests
- Local cache + Redis for performance
- Comprehensive logging and monitoring
- Progressive blocking for repeat offenders

### Documentation:
- Complete security guide (docs/security.md)
- Configuration examples
- Incident response procedures
- Monitoring recommendations

Version bump to 0.6.0 for major security enhancement.

											
										
										
											2025-09-02 11:40:43 +03:00
+								mod security;
-.0.3-desirable

											
										
										
											2024-08-31 03:32:37 +03:00
+								mod thumbnail;
-												sentry-connectedd

											
										
										
											2024-04-08 10:17:14 +03:00
-.1.1-cors-internal

											
										
										
											2025-06-02 22:20:37 +03:00
+								use actix_cors::Cors;
-												docs

											
										
										
											2025-08-02 00:18:09 +03:00
+								use actix_web::{
-												fmt

											
										
										
											2025-09-01 22:58:03 +03:00
+								    App, HttpServer,
-												🔒 Implement comprehensive security and DDoS protection

### Security Features:
- **Rate Limiting**: Redis-based IP tracking with configurable limits
  - General: 100 requests/minute (5min block)
  - Upload: 10 requests/5min (10min block)
  - Auth: 20 requests/15min (30min block)
- **Request Validation**: Path length, header count, suspicious patterns
- **Attack Detection**: Admin paths, script injections, bot patterns
- **Enhanced JWT**: Format validation, length checks, character filtering
- **IP Tracking**: X-Forwarded-For and X-Real-IP support

### Security Headers:
- X-Content-Type-Options: nosniff
- X-Frame-Options: DENY
- X-XSS-Protection: 1; mode=block
- Content-Security-Policy with strict rules
- Strict-Transport-Security with includeSubDomains

### CORS Hardening:
- Limited to specific domains: discours.io, new.discours.io
- Restricted methods: GET, POST, OPTIONS only
- Essential headers only

### Infrastructure:
- Security middleware for all requests
- Local cache + Redis for performance
- Comprehensive logging and monitoring
- Progressive blocking for repeat offenders

### Documentation:
- Complete security guide (docs/security.md)
- Configuration examples
- Incident response procedures
- Monitoring recommendations

Version bump to 0.6.0 for major security enhancement.

											
										
										
											2025-09-02 11:40:43 +03:00
+								    http::header,
-												[0.6.1] - 2025-09-02

### 🚀 Изменено - Упрощение архитектуры
- **Генерация миниатюр**: Полностью удалена из Quoter, теперь управляется Vercel Edge API
- **Очистка legacy кода**: Удалены все функции генерации миниатюр и сложность
- **Документация**: Сокращена с 17 файлов до 7, следуя принципам KISS/DRY
- **Смена фокуса**: Quoter теперь сосредоточен на upload + storage, Vercel обрабатывает миниатюры
- **Логирование запросов**: Добавлена аналитика источников для оптимизации CORS whitelist
- **Реализация таймаутов**: Добавлены настраиваемые таймауты для S3, Redis и внешних операций
- **Упрощенная безопасность**: Удален сложный rate limiting, оставлена только необходимая защита upload

### 📝 Обновлено
- Консолидирована документация в практическую структуру:
  - Основной README.md с быстрым стартом
  - docs/SETUP.md для конфигурации и развертывания
  - Упрощенный features.md с фокусом на основную функциональность
- Добавлен акцент на Vercel по всему коду и документации

### 🗑️ Удалено
- Избыточные файлы документации (api-reference, deployment, development, и т.д.)
- Дублирующийся контент в нескольких документах
- Излишне детальная документация для простого файлового прокси

💋 **Упрощение**: KISS принцип применен - убрали избыточность, оставили суть.

											
										
										
											2025-09-02 14:00:54 +03:00
+								    middleware::{DefaultHeaders, Logger},
-												fmt

											
										
										
											2025-09-01 22:58:03 +03:00
+								    web,
-												docs

											
										
										
											2025-08-02 00:18:09 +03:00
+								};
-.0.3-desirable

											
										
										
											2024-08-31 03:32:37 +03:00
+								use app_state::AppState;
-												[0.6.1] - 2025-09-02

### 🚀 Изменено - Упрощение архитектуры
- **Генерация миниатюр**: Полностью удалена из Quoter, теперь управляется Vercel Edge API
- **Очистка legacy кода**: Удалены все функции генерации миниатюр и сложность
- **Документация**: Сокращена с 17 файлов до 7, следуя принципам KISS/DRY
- **Смена фокуса**: Quoter теперь сосредоточен на upload + storage, Vercel обрабатывает миниатюры
- **Логирование запросов**: Добавлена аналитика источников для оптимизации CORS whitelist
- **Реализация таймаутов**: Добавлены настраиваемые таймауты для S3, Redis и внешних операций
- **Упрощенная безопасность**: Удален сложный rate limiting, оставлена только необходимая защита upload

### 📝 Обновлено
- Консолидирована документация в практическую структуру:
  - Основной README.md с быстрым стартом
  - docs/SETUP.md для конфигурации и развертывания
  - Упрощенный features.md с фокусом на основную функциональность
- Добавлен акцент на Vercel по всему коду и документации

### 🗑️ Удалено
- Избыточные файлы документации (api-reference, deployment, development, и т.д.)
- Дублирующийся контент в нескольких документах
- Излишне детальная документация для простого файлового прокси

💋 **Упрощение**: KISS принцип применен - убрали избыточность, оставили суть.

											
										
										
											2025-09-02 14:00:54 +03:00
+								use security::SecurityConfig;
-												clippy-fixes

											
										
										
											2025-08-12 14:13:35 +03:00
-												🧹 Remove unused legacy modules and functions

- Deleted quota.rs module (quota management not needed via HTTP)
- Removed legacy get_id_by_token GraphQL function
- Removed unused set_user_quota and increase_user_quota methods
- Cleaned up unused imports and legacy structs
- Simplified handlers/mod.rs to only expose universal_handler

Architecture now focused on core functionality:
- GET / (user info)
- GET /<filename> (file serving)
- POST / (file upload)

											
										
										
											2025-09-02 11:27:48 +03:00
+								use handlers::universal_handler;
-												[0.6.1] - 2025-09-02

### 🚀 Изменено - Упрощение архитектуры
- **Генерация миниатюр**: Полностью удалена из Quoter, теперь управляется Vercel Edge API
- **Очистка legacy кода**: Удалены все функции генерации миниатюр и сложность
- **Документация**: Сокращена с 17 файлов до 7, следуя принципам KISS/DRY
- **Смена фокуса**: Quoter теперь сосредоточен на upload + storage, Vercel обрабатывает миниатюры
- **Логирование запросов**: Добавлена аналитика источников для оптимизации CORS whitelist
- **Реализация таймаутов**: Добавлены настраиваемые таймауты для S3, Redis и внешних операций
- **Упрощенная безопасность**: Удален сложный rate limiting, оставлена только необходимая защита upload

### 📝 Обновлено
- Консолидирована документация в практическую структуру:
  - Основной README.md с быстрым стартом
  - docs/SETUP.md для конфигурации и развертывания
  - Упрощенный features.md с фокусом на основную функциональность
- Добавлен акцент на Vercel по всему коду и документации

### 🗑️ Удалено
- Избыточные файлы документации (api-reference, deployment, development, и т.д.)
- Дублирующийся контент в нескольких документах
- Излишне детальная документация для простого файлового прокси

💋 **Упрощение**: KISS принцип применен - убрали избыточность, оставили суть.

											
										
										
											2025-09-02 14:00:54 +03:00
+								use log::{info, warn};
-												env-logger

											
										
										
											2024-10-02 18:56:52 +03:00
+								use std::env;
-												docs

											
										
										
											2025-08-02 00:18:09 +03:00
+								use tokio::task::spawn_blocking;
-												init-rust

											
										
										
											2023-09-28 02:08:48 +03:00
 								#[actix_web::main]
 								async fn main() -> std::io::Result<()> {
-												env-logger

											
										
										
											2024-10-02 18:56:52 +03:00
+								    env_logger::init();
-												debugparse

											
										
										
											2024-10-23 16:21:18 +03:00
+								    warn!("Started");
-												s3-creds+sizes+postgen

											
										
										
											2024-08-30 22:11:21 +03:00
-												minorfix6

											
										
										
											2024-10-22 13:18:57 +03:00
+								    let port = env::var("PORT").unwrap_or_else(|_| "8080".to_string());
 								    let addr = format!("0.0.0.0:{}", port);
 								    let app_state = AppState::new().await;
-												user-id-request

											
										
										
											2024-08-30 23:27:01 +03:00
+								    let app_state_clone = app_state.clone();
-												fmt

											
										
										
											2024-09-23 18:16:47 +03:00
-												redis-types+spawn-blocking-fix

											
										
										
											2024-09-23 16:32:54 +03:00
+								    // Используем spawn_blocking для работы, которая не совместима с Send
 								    spawn_blocking(move || {
 								        let rt = tokio::runtime::Handle::current();
 								        rt.block_on(async move {
-												proxy-reworked

											
										
										
											2024-10-22 19:34:08 +03:00
+								            app_state_clone.cache_filelist().await;
-												redis-types+spawn-blocking-fix

											
										
										
											2024-09-23 16:32:54 +03:00
+								        });
-												user-id-request

											
										
										
											2024-08-30 23:27:01 +03:00
+								    });
-												🔒 Implement comprehensive security and DDoS protection

### Security Features:
- **Rate Limiting**: Redis-based IP tracking with configurable limits
  - General: 100 requests/minute (5min block)
  - Upload: 10 requests/5min (10min block)
  - Auth: 20 requests/15min (30min block)
- **Request Validation**: Path length, header count, suspicious patterns
- **Attack Detection**: Admin paths, script injections, bot patterns
- **Enhanced JWT**: Format validation, length checks, character filtering
- **IP Tracking**: X-Forwarded-For and X-Real-IP support

### Security Headers:
- X-Content-Type-Options: nosniff
- X-Frame-Options: DENY
- X-XSS-Protection: 1; mode=block
- Content-Security-Policy with strict rules
- Strict-Transport-Security with includeSubDomains

### CORS Hardening:
- Limited to specific domains: discours.io, new.discours.io
- Restricted methods: GET, POST, OPTIONS only
- Essential headers only

### Infrastructure:
- Security middleware for all requests
- Local cache + Redis for performance
- Comprehensive logging and monitoring
- Progressive blocking for repeat offenders

### Documentation:
- Complete security guide (docs/security.md)
- Configuration examples
- Incident response procedures
- Monitoring recommendations

Version bump to 0.6.0 for major security enhancement.

											
										
										
											2025-09-02 11:40:43 +03:00
+								    // Конфигурация безопасности
 								    let security_config = SecurityConfig::default();
-												[0.6.1] - 2025-09-02

### 🚀 Изменено - Упрощение архитектуры
- **Генерация миниатюр**: Полностью удалена из Quoter, теперь управляется Vercel Edge API
- **Очистка legacy кода**: Удалены все функции генерации миниатюр и сложность
- **Документация**: Сокращена с 17 файлов до 7, следуя принципам KISS/DRY
- **Смена фокуса**: Quoter теперь сосредоточен на upload + storage, Vercel обрабатывает миниатюры
- **Логирование запросов**: Добавлена аналитика источников для оптимизации CORS whitelist
- **Реализация таймаутов**: Добавлены настраиваемые таймауты для S3, Redis и внешних операций
- **Упрощенная безопасность**: Удален сложный rate limiting, оставлена только необходимая защита upload

### 📝 Обновлено
- Консолидирована документация в практическую структуру:
  - Основной README.md с быстрым стартом
  - docs/SETUP.md для конфигурации и развертывания
  - Упрощенный features.md с фокусом на основную функциональность
- Добавлен акцент на Vercel по всему коду и документации

### 🗑️ Удалено
- Избыточные файлы документации (api-reference, deployment, development, и т.д.)
- Дублирующийся контент в нескольких документах
- Излишне детальная документация для простого файлового прокси

💋 **Упрощение**: KISS принцип применен - убрали избыточность, оставили суть.

											
										
										
											2025-09-02 14:00:54 +03:00
+								    info!(
 								        "Security config: max_payload={} MB, timeout={}s",
 								        security_config.max_payload_size / (1024 * 1024),
 								        security_config.request_timeout_seconds
 								    );
-												🔒 Implement comprehensive security and DDoS protection

### Security Features:
- **Rate Limiting**: Redis-based IP tracking with configurable limits
  - General: 100 requests/minute (5min block)
  - Upload: 10 requests/5min (10min block)
  - Auth: 20 requests/15min (30min block)
- **Request Validation**: Path length, header count, suspicious patterns
- **Attack Detection**: Admin paths, script injections, bot patterns
- **Enhanced JWT**: Format validation, length checks, character filtering
- **IP Tracking**: X-Forwarded-For and X-Real-IP support

### Security Headers:
- X-Content-Type-Options: nosniff
- X-Frame-Options: DENY
- X-XSS-Protection: 1; mode=block
- Content-Security-Policy with strict rules
- Strict-Transport-Security with includeSubDomains

### CORS Hardening:
- Limited to specific domains: discours.io, new.discours.io
- Restricted methods: GET, POST, OPTIONS only
- Essential headers only

### Infrastructure:
- Security middleware for all requests
- Local cache + Redis for performance
- Comprehensive logging and monitoring
- Progressive blocking for repeat offenders

### Documentation:
- Complete security guide (docs/security.md)
- Configuration examples
- Incident response procedures
- Monitoring recommendations

Version bump to 0.6.0 for major security enhancement.

											
										
										
											2025-09-02 11:40:43 +03:00
-												init-rust

											
										
										
											2023-09-28 02:08:48 +03:00
+								    HttpServer::new(move || {
-												🔒 Implement comprehensive security and DDoS protection

### Security Features:
- **Rate Limiting**: Redis-based IP tracking with configurable limits
  - General: 100 requests/minute (5min block)
  - Upload: 10 requests/5min (10min block)
  - Auth: 20 requests/15min (30min block)
- **Request Validation**: Path length, header count, suspicious patterns
- **Attack Detection**: Admin paths, script injections, bot patterns
- **Enhanced JWT**: Format validation, length checks, character filtering
- **IP Tracking**: X-Forwarded-For and X-Real-IP support

### Security Headers:
- X-Content-Type-Options: nosniff
- X-Frame-Options: DENY
- X-XSS-Protection: 1; mode=block
- Content-Security-Policy with strict rules
- Strict-Transport-Security with includeSubDomains

### CORS Hardening:
- Limited to specific domains: discours.io, new.discours.io
- Restricted methods: GET, POST, OPTIONS only
- Essential headers only

### Infrastructure:
- Security middleware for all requests
- Local cache + Redis for performance
- Comprehensive logging and monitoring
- Progressive blocking for repeat offenders

### Documentation:
- Complete security guide (docs/security.md)
- Configuration examples
- Incident response procedures
- Monitoring recommendations

Version bump to 0.6.0 for major security enhancement.

											
										
										
											2025-09-02 11:40:43 +03:00
+								        // Настройка CORS middleware - ограничиваем в продакшене
-.1.1-cors-internal

											
										
										
											2025-06-02 22:20:37 +03:00
+								        let cors = Cors::default()
-												🔒 Implement comprehensive security and DDoS protection

### Security Features:
- **Rate Limiting**: Redis-based IP tracking with configurable limits
  - General: 100 requests/minute (5min block)
  - Upload: 10 requests/5min (10min block)
  - Auth: 20 requests/15min (30min block)
- **Request Validation**: Path length, header count, suspicious patterns
- **Attack Detection**: Admin paths, script injections, bot patterns
- **Enhanced JWT**: Format validation, length checks, character filtering
- **IP Tracking**: X-Forwarded-For and X-Real-IP support

### Security Headers:
- X-Content-Type-Options: nosniff
- X-Frame-Options: DENY
- X-XSS-Protection: 1; mode=block
- Content-Security-Policy with strict rules
- Strict-Transport-Security with includeSubDomains

### CORS Hardening:
- Limited to specific domains: discours.io, new.discours.io
- Restricted methods: GET, POST, OPTIONS only
- Essential headers only

### Infrastructure:
- Security middleware for all requests
- Local cache + Redis for performance
- Comprehensive logging and monitoring
- Progressive blocking for repeat offenders

### Documentation:
- Complete security guide (docs/security.md)
- Configuration examples
- Incident response procedures
- Monitoring recommendations

Version bump to 0.6.0 for major security enhancement.

											
										
										
											2025-09-02 11:40:43 +03:00
+								            .allowed_origin("https://discours.io")
 								            .allowed_origin("https://new.discours.io")
 								            .allowed_origin("https://testing.discours.io")
-												Add detailed Redis connection debugging and PING test

											
										
										
											2025-09-02 18:31:46 +03:00
+								            .allowed_origin("http://localhost:3000") // FIXME: для разработки
-												🔒 Implement comprehensive security and DDoS protection

### Security Features:
- **Rate Limiting**: Redis-based IP tracking with configurable limits
  - General: 100 requests/minute (5min block)
  - Upload: 10 requests/5min (10min block)
  - Auth: 20 requests/15min (30min block)
- **Request Validation**: Path length, header count, suspicious patterns
- **Attack Detection**: Admin paths, script injections, bot patterns
- **Enhanced JWT**: Format validation, length checks, character filtering
- **IP Tracking**: X-Forwarded-For and X-Real-IP support

### Security Headers:
- X-Content-Type-Options: nosniff
- X-Frame-Options: DENY
- X-XSS-Protection: 1; mode=block
- Content-Security-Policy with strict rules
- Strict-Transport-Security with includeSubDomains

### CORS Hardening:
- Limited to specific domains: discours.io, new.discours.io
- Restricted methods: GET, POST, OPTIONS only
- Essential headers only

### Infrastructure:
- Security middleware for all requests
- Local cache + Redis for performance
- Comprehensive logging and monitoring
- Progressive blocking for repeat offenders

### Documentation:
- Complete security guide (docs/security.md)
- Configuration examples
- Incident response procedures
- Monitoring recommendations

Version bump to 0.6.0 for major security enhancement.

											
										
										
											2025-09-02 11:40:43 +03:00
+								            .allowed_methods(vec!["GET", "POST", "OPTIONS"])
-.1.1-cors-internal

											
										
										
											2025-06-02 22:20:37 +03:00
+								            .allowed_headers(vec![
 								                header::CONTENT_TYPE,
 								                header::AUTHORIZATION,
-												🔒 Implement comprehensive security and DDoS protection

### Security Features:
- **Rate Limiting**: Redis-based IP tracking with configurable limits
  - General: 100 requests/minute (5min block)
  - Upload: 10 requests/5min (10min block)
  - Auth: 20 requests/15min (30min block)
- **Request Validation**: Path length, header count, suspicious patterns
- **Attack Detection**: Admin paths, script injections, bot patterns
- **Enhanced JWT**: Format validation, length checks, character filtering
- **IP Tracking**: X-Forwarded-For and X-Real-IP support

### Security Headers:
- X-Content-Type-Options: nosniff
- X-Frame-Options: DENY
- X-XSS-Protection: 1; mode=block
- Content-Security-Policy with strict rules
- Strict-Transport-Security with includeSubDomains

### CORS Hardening:
- Limited to specific domains: discours.io, new.discours.io
- Restricted methods: GET, POST, OPTIONS only
- Essential headers only

### Infrastructure:
- Security middleware for all requests
- Local cache + Redis for performance
- Comprehensive logging and monitoring
- Progressive blocking for repeat offenders

### Documentation:
- Complete security guide (docs/security.md)
- Configuration examples
- Incident response procedures
- Monitoring recommendations

Version bump to 0.6.0 for major security enhancement.

											
										
										
											2025-09-02 11:40:43 +03:00
+								                header::IF_NONE_MATCH,
 								                header::CACHE_CONTROL,
-.1.1-cors-internal

											
										
										
											2025-06-02 22:20:37 +03:00
+								            ])
-												🔒 Implement comprehensive security and DDoS protection

### Security Features:
- **Rate Limiting**: Redis-based IP tracking with configurable limits
  - General: 100 requests/minute (5min block)
  - Upload: 10 requests/5min (10min block)
  - Auth: 20 requests/15min (30min block)
- **Request Validation**: Path length, header count, suspicious patterns
- **Attack Detection**: Admin paths, script injections, bot patterns
- **Enhanced JWT**: Format validation, length checks, character filtering
- **IP Tracking**: X-Forwarded-For and X-Real-IP support

### Security Headers:
- X-Content-Type-Options: nosniff
- X-Frame-Options: DENY
- X-XSS-Protection: 1; mode=block
- Content-Security-Policy with strict rules
- Strict-Transport-Security with includeSubDomains

### CORS Hardening:
- Limited to specific domains: discours.io, new.discours.io
- Restricted methods: GET, POST, OPTIONS only
- Essential headers only

### Infrastructure:
- Security middleware for all requests
- Local cache + Redis for performance
- Comprehensive logging and monitoring
- Progressive blocking for repeat offenders

### Documentation:
- Complete security guide (docs/security.md)
- Configuration examples
- Incident response procedures
- Monitoring recommendations

Version bump to 0.6.0 for major security enhancement.

											
										
										
											2025-09-02 11:40:43 +03:00
+								            .expose_headers(vec![header::CONTENT_LENGTH, header::ETAG])
-.1.1-cors-internal

											
										
										
											2025-06-02 22:20:37 +03:00
+								            .supports_credentials()
-												🔒 Implement comprehensive security and DDoS protection

### Security Features:
- **Rate Limiting**: Redis-based IP tracking with configurable limits
  - General: 100 requests/minute (5min block)
  - Upload: 10 requests/5min (10min block)
  - Auth: 20 requests/15min (30min block)
- **Request Validation**: Path length, header count, suspicious patterns
- **Attack Detection**: Admin paths, script injections, bot patterns
- **Enhanced JWT**: Format validation, length checks, character filtering
- **IP Tracking**: X-Forwarded-For and X-Real-IP support

### Security Headers:
- X-Content-Type-Options: nosniff
- X-Frame-Options: DENY
- X-XSS-Protection: 1; mode=block
- Content-Security-Policy with strict rules
- Strict-Transport-Security with includeSubDomains

### CORS Hardening:
- Limited to specific domains: discours.io, new.discours.io
- Restricted methods: GET, POST, OPTIONS only
- Essential headers only

### Infrastructure:
- Security middleware for all requests
- Local cache + Redis for performance
- Comprehensive logging and monitoring
- Progressive blocking for repeat offenders

### Documentation:
- Complete security guide (docs/security.md)
- Configuration examples
- Incident response procedures
- Monitoring recommendations

Version bump to 0.6.0 for major security enhancement.

											
										
										
											2025-09-02 11:40:43 +03:00
+								            .max_age(86400); // 1 день вместо 20
 								        // Заголовки безопасности
 								        let security_headers = DefaultHeaders::new()
 								            .add(("X-Content-Type-Options", "nosniff"))
 								            .add(("X-Frame-Options", "DENY"))
 								            .add(("X-XSS-Protection", "1; mode=block"))
 								            .add(("Referrer-Policy", "strict-origin-when-cross-origin"))
-												[0.6.1] - 2025-09-02

### 🚀 Изменено - Упрощение архитектуры
- **Генерация миниатюр**: Полностью удалена из Quoter, теперь управляется Vercel Edge API
- **Очистка legacy кода**: Удалены все функции генерации миниатюр и сложность
- **Документация**: Сокращена с 17 файлов до 7, следуя принципам KISS/DRY
- **Смена фокуса**: Quoter теперь сосредоточен на upload + storage, Vercel обрабатывает миниатюры
- **Логирование запросов**: Добавлена аналитика источников для оптимизации CORS whitelist
- **Реализация таймаутов**: Добавлены настраиваемые таймауты для S3, Redis и внешних операций
- **Упрощенная безопасность**: Удален сложный rate limiting, оставлена только необходимая защита upload

### 📝 Обновлено
- Консолидирована документация в практическую структуру:
  - Основной README.md с быстрым стартом
  - docs/SETUP.md для конфигурации и развертывания
  - Упрощенный features.md с фокусом на основную функциональность
- Добавлен акцент на Vercel по всему коду и документации

### 🗑️ Удалено
- Избыточные файлы документации (api-reference, deployment, development, и т.д.)
- Дублирующийся контент в нескольких документах
- Излишне детальная документация для простого файлового прокси

💋 **Упрощение**: KISS принцип применен - убрали избыточность, оставили суть.

											
										
										
											2025-09-02 14:00:54 +03:00
+								            .add((
 								                "Content-Security-Policy",
 								                "default-src 'self'; img-src 'self' data: https:; object-src 'none';",
 								            ))
 								            .add((
 								                "Strict-Transport-Security",
 								                "max-age=31536000; includeSubDomains",
 								            ));
-.1.1-cors-internal

											
										
										
											2025-06-02 22:20:37 +03:00
-												init-rust

											
										
										
											2023-09-28 02:08:48 +03:00
+								        App::new()
-												s3-creds+sizes+postgen

											
										
										
											2024-08-30 22:11:21 +03:00
+								            .app_data(web::Data::new(app_state.clone()))
-												🔒 Implement comprehensive security and DDoS protection

### Security Features:
- **Rate Limiting**: Redis-based IP tracking with configurable limits
  - General: 100 requests/minute (5min block)
  - Upload: 10 requests/5min (10min block)
  - Auth: 20 requests/15min (30min block)
- **Request Validation**: Path length, header count, suspicious patterns
- **Attack Detection**: Admin paths, script injections, bot patterns
- **Enhanced JWT**: Format validation, length checks, character filtering
- **IP Tracking**: X-Forwarded-For and X-Real-IP support

### Security Headers:
- X-Content-Type-Options: nosniff
- X-Frame-Options: DENY
- X-XSS-Protection: 1; mode=block
- Content-Security-Policy with strict rules
- Strict-Transport-Security with includeSubDomains

### CORS Hardening:
- Limited to specific domains: discours.io, new.discours.io
- Restricted methods: GET, POST, OPTIONS only
- Essential headers only

### Infrastructure:
- Security middleware for all requests
- Local cache + Redis for performance
- Comprehensive logging and monitoring
- Progressive blocking for repeat offenders

### Documentation:
- Complete security guide (docs/security.md)
- Configuration examples
- Incident response procedures
- Monitoring recommendations

Version bump to 0.6.0 for major security enhancement.

											
										
										
											2025-09-02 11:40:43 +03:00
+								            .app_data(web::PayloadConfig::new(security_config.max_payload_size))
 								            .app_data(web::JsonConfig::default().limit(1024 * 1024)) // 1MB для JSON
 								            .wrap(security_headers)
-.1.1-cors-internal

											
										
										
											2025-06-02 22:20:37 +03:00
+								            .wrap(cors)
-												trytofix

											
										
										
											2023-10-11 23:03:12 +03:00
+								            .wrap(Logger::default())
-												🧹 Remove unused legacy modules and functions

- Deleted quota.rs module (quota management not needed via HTTP)
- Removed legacy get_id_by_token GraphQL function
- Removed unused set_user_quota and increase_user_quota methods
- Cleaned up unused imports and legacy structs
- Simplified handlers/mod.rs to only expose universal_handler

Architecture now focused on core functionality:
- GET / (user info)
- GET /<filename> (file serving)
- POST / (file upload)

											
										
										
											2025-09-02 11:27:48 +03:00
+								            .default_service(web::to(universal_handler))
-												init-rust

											
										
										
											2023-09-28 02:08:48 +03:00
+								    })
-												env-logger

											
										
										
											2024-10-02 18:56:52 +03:00
+								    .bind(addr)?
-												init-rust

											
										
										
											2023-09-28 02:08:48 +03:00
+								    .run()
 								    .await
-												fmt

											
										
										
											2024-09-23 18:16:47 +03:00
+								}