github 中很多項(xiàng)目都有一個(gè) readme 文件，很多人喜歡在文件中添加自己的創(chuàng)作或封面圖片，比如 substack 為他的每個(gè)項(xiàng)目繪制了一個(gè) logo。這些圖片在 github 中能直接在頁面中顯示出來，不過 url 被替換成了 github 自己的。比如在 browserify 項(xiàng)目中，logo 的鏈接變成了
代碼如下:
https://camo.githubusercontent.com/e19e230a9371a44a2eeb484b83ff4fcf8c824cf7/687474703a2f2f737562737461636b2e6e65742f696d616765732f62726f777365726966795f6c6f676f2e706e67

而我們通過查看 raw 能發(fā)現(xiàn)原 url 是
代碼如下:
http://substack.net/images/browserify_logo.png

這樣做的一個(gè)好處是防止因?yàn)樵?https 網(wǎng)站中出現(xiàn) http 鏈接，否則在客戶端會(huì)得到一個(gè)風(fēng)險(xiǎn)警告。github 在細(xì)節(jié)上真是考慮的十分周到。
既然有需求，我們就來實(shí)現(xiàn)它。通常的做法是寫一個(gè)應(yīng)用去抓取遠(yuǎn)程的靜態(tài)資源，然后反饋給前端，這就是一個(gè)簡(jiǎn)單地反向代理了。但是這樣做比較繁瑣，效率也未見得高，其實(shí)我們可以直接通過 nginx 來代理這些靜態(tài)文件。
nginx 的 proxy_pass 支持填寫任意地址，并且支持 dns 解析。所以我的思路是，將原 url 加密轉(zhuǎn)成網(wǎng)站自身的 url。比如上面的
代碼如下:
http://substack.net/images/browserify_logo.png

可以加密成
代碼如下:
764feebffb1d3f877e9e0d0fadcf29b85e8fe84ae4ce52f7dc4ca4b3e05bf1718177870a996fe5804a232fcae5b893ea (加密和序列化算法網(wǎng)上有很多，在此就不贅述了)

然后放在我們自己的域名下：
代碼如下:
https://ssl.youdomain.com/camo/764feebffb1d3f877e9e0d0fadcf29b85e8fe84ae4ce52f7dc4ca4b3e05bf1718177870a996fe5804a232fcae5b893ea

解密的步驟用 nginx 會(huì)比較難實(shí)現(xiàn)，所以當(dāng)用戶通過上述鏈接請(qǐng)求時(shí)，先講請(qǐng)求傳遞給解密程序，這里有一個(gè) coffeescript 版本的例子：
代碼如下:
express = require 'express'
app = express()
app.get '/camo/:eurl', (req, res) ->
  {eurl} = req.params
  {camoSecret} = config  # 這里使用自己的密鑰
  rawUrl = util.decrypt eurl, camoSecret
  return res.status(403).end('INVALID URL') unless rawUrl
  res.set 'X-Origin-Url', rawUrl
  res.set 'X-Accel-Redirect', '/remote'
  res.end()
app.listen 3000

然后寫入 X-Accel-Redirect 響應(yīng)頭做內(nèi)部跳轉(zhuǎn)，下面的步驟就由 nginx 完成了。
下面是一個(gè)完整的 nginx 配置文件例子：
代碼如下:
server {
    listen 80;
    server_name ssl.youdomain.com;
    location /camo/ {
        proxy_pass http://localhost:3000;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;