Location / { set $rewrite 0;

if ($http_x_october_request_handler) {
set $rewrite 1;
}

if ($request_method != POST) {
set $rewrite 0;
}

if ($rewrite) {
rewrite ^/.*$ /index.php last;
}

try_files /storage/quicksilver/cache$uri.html /storage/quicksilver/cache/qs_index_qs.html /index.php?$query_string;
}

В официальной документации к плагину происходит проверка $request_method = POST. Поскольку JavaScript API октября предполагает, что любой Ajax запрос сопровождается заголовком X-October-Request-Handler, достаточно просто проверить его существование. Он хранится в переменной $http_x_october_request_handler. В случаях, когда заголовок существует, но метод не POST (что может произойти только при подмене запроса) все равно будет отдаваться закэшированный контент.

Теперь HTML страница генерируется без участия PHP скриптов (инициализации приложения).


6. Ограничиваем HTTP запросы.

Вишенка на торте 😋

Во всех статьях по ограничению HTTP запросов говорят делать что-то подобное:

limit_req_zone $binary_remote_addr zone=req_zone:10m rate=3r/s;

server {
location / {
limit_req zone=req_zone burst=5 nodelay;
}
}

Но здесь есть один существенный недостаток: ограничение касается ВСЕХ запросов, в том числе и Ajax. В рамках этой статьи предполагается, что клиент в секунду отправит минимум 2-3 запроса на сервер. Поэтому настройка должна быть более деликатной, универсального правила не существует.

Будем ограничивать в запросах уязвимые места. Уязвимыми являются прямые запросы до Ajax обработчиков. Ограничим до трех POST запросов в секунду на каждый обработчик по отдельности с одного IP адреса:

map $http_x_requested_with $limit_requests_by_ajax_handler {
default "";
"XMLHttpRequest" $binary_remote_addr$http_x_october_request_handler;
}

limit_req_zone $limit_requests_by_ajax_handler zone=limit_ajax_requests_per_handler:10m rate=2r/s;

server {
location ~ ^/index.php {
limit_req zone=limit_ajax_requests_per_handler burst=1 nodelay;
}
}

Также можно ограничить обычные запросы (не Ajax), которые не доходят до PHP скриптов. Здесь можно задать более лояльные условия, поскольку сильной нагрузки на сервер не несут. В целях экономии трафика

map $http_x_requested_with $limit_requests {
default $binary_remote_addr;
"XMLHttpRequest" "";
}

limit_req_zone $limit_requests zone=limit_requests:10m rate=5r/s;

server {
location / {
limit_req zone=limit_requests burst=2 nodelay;
}
}



Таким образом, в комплексе эти рекомендации дают следующий буст:

1) Заметное увеличение загрузки веб-сайта (примерно в 2-3 раза)
2) Уменьшение нагрузки на сервер за счет кэширования HTTP запросов
3) Распределение нагрузки за счет Ajax подгрузки контента
4) Повышение позиции в индексе, поскольку поисковики отдают предпочтение сайтам, которые загружаются быстрее
5) Мощная защита от DDoS атак своими силами на уровне приложения (L7), которая реально работает

Стоит учитывать уровни DDoS… 3 уровень обычно предоставляют хостеры. А в сообщении описано для -67 уровня. Между 3 и 6 уровнем есть весьма интересный и относительно простые уровни для атаки. Тот же 5 уровень

+ определенно

LeMaX10 (9759.37) увеличил карму user_dontfollow (181.26) 💙💛

Здесь аппаратное ускорение. Защита от L7 атак на стороне приложения

Ссылочку можно на сервер?

+

Titamik (199.42) увеличил карму user_dontfollow (350.26) 💙💛

+

dmitry_ivan4enko (1598.39) увеличил карму user_dontfollow (390.24) 💙💛