Einstellung "blockierte Onebox-Domains" wird nicht beachtet

dschaper · 16. Februar 2022 um 21:35

blockierte Onebox-Domains werden in 2.9.0beta2 (c6265eec6b) ignoriert.

Wir haben:

Diese Domains sind durch OAuth-Walls geschützt und die Onebox versucht, die Domains vorab anzuzeigen und erhält stattdessen die OAuth-Anmelde-URL.

supermathie · 16. Februar 2022 um 23:01

Diese Einstellung wirkt sich nur auf dem Server aus – Ihr Browser versucht trotzdem, eine Onebox für die Vorschau zu erstellen.

Ich kann verstehen, wie das unerwartet sein könnte.

Wenn Sie den Beitrag absenden, wird dann die Onebox angezeigt, nachdem der Server sie gerendert hat, oder wird die reine URL angezeigt, wie Sie es erwarten?

dschaper · 17. Februar 2022 um 00:08

Es wird als Onebox angezeigt, wenn der Kommentar gepostet wird:

supermathie · 17. Februar 2022 um 00:14

Ja, das scheint nicht richtig zu funktionieren…

nat · 17. Februar 2022 um 01:09

Können Sie versuchen, „auth.pi-hole.net“ in Ihre Einstellung für blockierte Onebox-Domains aufzunehmen?

Wir haben diese Einstellung so vorgenommen, dass sie Weiterleitungen folgt, aber nur die angegebene Domain blockiert, wenn sie das endgültige Ziel ist.

dschaper · 17. Februar 2022 um 01:15

Ich habe es gerade versucht und es wird immer noch als Onebox angezeigt. Ich glaube, das liegt daran, dass der Endpunkt auth.pi-hole.net eine URI-Umleitung vom OAuth-Endpunkt auf github.com ist. Und wir möchten github.com nicht vom Oneboxing ausschließen.

Ich werde prüfen, ob das Blockieren von GitHub etwas bewirkt… Nein, das Blockieren von github.com verhindert auch kein Oneboxing. Gibt es einen Cache, den Onebox möglicherweise verwendet und der gelöscht werden muss, damit eine neue Suche nach tricorder durchgeführt wird?

nat · 17. Februar 2022 um 01:55

Ja, ich kann verstehen, warum.

Es gibt einen Cache für einen Tag für abgerufene Onebox-URLs. Das manuelle erneute Backen des Beitrags (post.rebake!) nach einem Tag würde also das Oneboxing mit blockiertem github.com verhindern.

Wir haben einige Arbeiten im Rückstand, um bei Authentifizierungs-Weiterleitungen intelligenter zu sein, aber das ist nur für die Authentifizierung von Discourse-Foren vorgesehen. Ich denke, eine Erweiterung der Einstellung, um auch Unterverzeichnisse zuzulassen, würde uns in diesem Fall für GitHub helfen: \u003chttps://github.com/login/oauth/authorize\u003e … Ich werde das intern besprechen.

Es ist wahrscheinlich auch gut, wenn der Hinweistext spezifisch angibt, was tatsächlich blockiert wird, vielleicht mit dem Zusatz: „Onebox folgt Weiterleitungen und blockiert nur, wenn das endgültige Ziel dieser Einstellung entspricht“.

sam · 17. Februar 2022 um 02:27

Wilder Gedanke… sollten wir unterstützen:

cache-control: no-store

Die no-store-Antwortdirektive gibt an, dass Caches jeglicher Art (privat oder gemeinsam genutzt) diese Antwort nicht speichern sollten.

GitHub sagt ausdrücklich… bitte… speichere mich nicht…

Vielleicht sollte Onebox dies respektieren… und es nicht speichern.

Wir könnten dies immer als experimentelle Einstellung beginnen und sehen, welche Auswirkungen es hat.

Die Vorschau müsste erklären, warum wir nicht oneboxen.

Hinweis… wir verwenden no-store an einigen Stellen, aber ich glaube, wir leiten in diesen Fällen weiter, und doch gibt es diese leichte Komplexität.

github.com/discourse/discourse

spec/requests/topics_controller_spec.rb

a0c65e91d


      
          it 'correctly renders canonicals' do
            get "/t/#{topic.id}", params: { slug: topic.slug }
          
            expect(response.status).to eq(200)
            expect(css_select("link[rel=canonical]").length).to eq(1)
            expect(response.headers["Cache-Control"]).to eq("no-cache, no-store")
          end

dschaper · 17. Februar 2022 um 20:15

Wir verlinken viele PRs und Issues aus unseren verschiedenen Repositories, und wenn diese mit Vorschauen “oneboxed” werden, sehen neue Benutzer, worum es in dem Thema geht, ohne zu GitHub wechseln zu müssen.

sam · 17. Februar 2022 um 20:56

Ja, das verstehe ich vollkommen, wir arbeiten an einer Lösung. Ich denke, es wäre am besten, wenn wir uns den „no store“-Header ansehen.

dschaper · 28. Februar 2022 um 19:57

Entschuldigung, dass ich das hochhole, aber es beeinträchtigt unsere Support-Seite erheblich. Leute posten Links zur Tricorder-URL, die Fehlerbehebungs-Protokolle enthalten, die von autorisiertem Personal überprüft werden sollen. Wir erhalten täglich eine Reihe dieser Beiträge und müssen die URL vorerst manuell in einen Nicht-Link ändern.

Gibt es Ideen zu einem Zeitrahmen für die Lösung oder ist es „bald™“

sam · 28. Februar 2022 um 20:21

Wir werden das in Ordnung bringen, ich würde sagen, irgendwann in den nächsten 4 Wochen oder so.

GreenOWL · 10. März 2022 um 15:21

Wie mache ich das in Discourse Docker?

sam · 11. März 2022 um 00:22

Ich empfehle, auf unseren Fix zu warten, wir haben einen PR in Arbeit:

github.com/discourse/discourse

FIX: Apply onebox blocked domain checks on every redirect

main ← fix/onebox-check-blocked-domain-on-redirect

opened 12:09AM - 10 Mar 22 UTC

OsamaSayegh

+171 -38

The `blocked onebox domains` setting lets site owners change what sites are all…owed to be oneboxed. When a link is entered into a post, Discourse checks the domain of the link against that setting and blocks the onebox if the domain is blocked. But if there's a chain of redirects, then only the final destination website is checked against the site setting. This commit amends that behavior so that every website in the redirect chain is checked against the site setting, and if anything is blocked the original link doesn't onebox at all in the post. The `Discourse-No-Onebox` header is also checked in every response and the onebox is blocked if the header is set to "1". Additionally, Discourse will now include the `Discourse-No-Onebox` header with every response if the site requires login to access content. This is done to signal to a Discourse instance that it shouldn't attempt to onebox other Discourse instances if they're login-only. Non-Discourse websites can also use include that header if they don't wish to have Discourse onebox their content. Internal ticket: t59305.

Er ändert das Verhalten, sodass:

Wir die Blocklistenprüfung bei jedem Hop in einer Weiterleitungskette durchführen
Wir eine neue Funktion einführen, damit jede Website das Oneboxing durch Setzen eines Kundenheaders deaktivieren kann

Dies wird das Problem von @dschaper lösen und uns zukünftig mehr Flexibilität geben.

Leider würde die Wahl von no store ein zu weites Netz spannen und zu viele falsch positive Ergebnisse liefern.

Osama · 11. März 2022 um 06:50

Der PR wurde zusammengeführt und befindet sich im tests-passed-Branch. Können Sie @dschaper aktualisieren und sehen, ob das Problem behoben ist? URLs mit der Domain tricorder.pi-hole.net sollten auf Ihrer Website nicht mehr Oneboxen.

dschaper · 14. März 2022 um 22:15

Sieht hier alles gut aus!

Danke für die Korrektur an alle.

Thema		Antworten	Aufrufe
"blocked onebox domains" doesn't work Bug	5	529	23. Januar 2023
How can I stop onebox redirection? Feature	15	2021	17. Dezember 2019
Allow sub-domains from blocked domain to onebox Support onebox	7	534	13. Oktober 2023
Onebox no longer works for my wordpress site Support	12	1691	12. Juni 2017
Disabling oneboxes Support	3	393	23. Januar 2023

Einstellung "blockierte Onebox-Domains" wird nicht beachtet

Verwandte Themen