任何Unicode字符都可以被利用到用户的名字上

twofoursixeight · 2023 年4 月 27 日 06:13

您好。我发现了一个问题，您可以在用户名中利用除空格以外的任何 Unicode 字符。我创建了一个测试账户来展示这一点。
https://meta.discourse.org/u/%E3%85%A4%E3%85%A4%E3%85%A4/summary

此外，如果您共享同一个论坛，个人资料将变得无法点击。
个人资料链接

sam · 2023 年4 月 27 日 07:17

这是由于默认关闭的站点设置所致：

我们默认禁用此功能，正是因为存在这种确切的向量。

哦……这个非常棒：

gerhard · 2023 年5 月 2 日 07:33

感谢您报告此问题。

unicode usernames 站点设置默认情况下是关闭的，我们建议配置 allowed unicode username characters 站点设置以防止出现此类问题，因此这并不是一个大问题（请参阅 https://meta.discourse.org/t/unicode-usernames-and-group-names/117737）。

不过，我已经创建了一个修复程序，即使对于那些尚未配置允许列表的用户，也能始终防止在用户名中使用不可见字符。

gerhard · 2023 年5 月 3 日 07:33

此主题在上次回复后 24 小时自动关闭。不再允许回复。

话题		回复	浏览量
Unicode usernames and group names Announcements new-feature	34	8565	2025 年2 月 25 日
Username can support more languages or custom settings UX	2	1859	2022 年1 月 22 日
Would like an update on the username settings if possible! Support	3	329	2023 年11 月 9 日
Dropped special characters in usernames Support	10	2114	2024 年2 月 4 日
Rich editor misses usernames with umlauts Bug composer	4	136	2025 年8 月 1 日