3.5.1：安全与维护版本

Discourse 3.5.1 稳定版发布

Discourse 强烈建议所有站点遵循 Discourse 的默认 tests-passed 分支。 “stable” 分支更侧重于无变更而非无 bug——所有发布，包括 tests-passed 和 beta 上的发布，都已准备好投入生产。

安全更新

本次发布包含对社区和 HackerOne 报告的以下安全问题的修复。

• XSS when quoting chat messages via channel title and thread title in RTE · Advisory · discourse/discourse · GitHub
• Insecure Direct Object Reference via AI Suggestions · Advisory · discourse/discourse · GitHub
• Backup restore meta-command injection leading to cross-site data access in multisite environments · Advisory · discourse/discourse · GitHub

更多！

但是等等，还有更多！我们尽最大努力为您突出显示新功能和更改，但总有太多更改无法详述。有关新功能、错误修复、用户体验改进等的完整列表，请务必查看下面列出的附加功能和修复。

所有功能和修复

错误修复

• 在登录需要时，在注册中包含 TOS 和隐私政策 URL… (34985)
• 从监视词检查中排除非文本用户字段 (34651)
• 处理小写暗 (34444)
• 基础是默认值时，broken base_scheme_id migration (34430)
• 允许基于自定义调色板创建新的调色板 (34351)
• 所需的确认未显示（稳定版） (34508)
• DiscourseConnect 和 SiteSetting.auth_immediately = false（稳定版） (34443)
• 支持旧版浏览器上的 light-dark（稳定版） (34441)
• 恢复 finish-installation 路由中的样式 (34422)

安全更改

• 基于主题的 AI 助手建议应检查用户是否可以访问它
• 富文本编辑器聊天记录 XSS
• 恢复期间使用基于 nonce 的限制