l'impostazione "domini onebox bloccati" non viene rispettata

dschaper · 16 Febbraio 2022, 9:35pm

blocked onebox domains vengono ignorati in 2.9.0beta2 (c6265eec6b).

Abbiamo:

Quei domini sono dietro muri OAuth e il onebox sta cercando di visualizzare in anteprima i domini e invece ottiene l’URL di accesso OAuth.

supermathie · 16 Febbraio 2022, 11:01pm

Questa impostazione ha effetto solo sul server: il tuo browser tenterà comunque di creare una onebox per l’anteprima.

Capisco come questo possa essere inaspettato.

Se invii il post, viene visualizzata la onebox dopo che il server l’ha renderizzata, o viene visualizzato l’URL grezzo come ti aspetti?

dschaper · 17 Febbraio 2022, 12:08am

Viene visualizzato come un onebox quando il commento viene pubblicato:

supermathie · 17 Febbraio 2022, 12:14am

Sì, questo non sembra funzionare correttamente…

nat · 17 Febbraio 2022, 1:09am

Puoi provare ad aggiungere “auth.pi-hole.net” nelle impostazioni dei domini bloccati per i onebox?

Abbiamo reso questa impostazione tale che segua i reindirizzamenti ma blocchi solo il dominio specificato se è la destinazione finale.

dschaper · 17 Febbraio 2022, 1:15am

Ho appena provato e continua a fare il oneboxing. Penso che sia perché l’endpoint auth.pi-hole.net è un reindirizzamento URI dall’endpoint OAuth su github.com. E preferiremmo non bloccare github.com dal oneboxing.

Verifico e vedo se bloccare github fa qualcosa… No, bloccare github.com non impedisce nemmeno il oneboxing. C’è una cache che onebox potrebbe usare e che deve essere svuotata in modo che venga eseguita una nuova ricerca per tricorder?

nat · 17 Febbraio 2022, 1:55am

Sì, capisco perché.

C’è una cache per un giorno per gli URL onebox recuperati, quindi rifare manualmente il post (post.rebake!) dopo un giorno impedirebbe il oneboxing con github.com bloccato.

Abbiamo del lavoro in arretrato per essere più intelligenti sui reindirizzamenti di autenticazione, ma questo è limitato all’autenticazione solo per i forum di Discourse. Sto pensando che forse espandere l’impostazione per consentire anche le sottodirectory ci aiuterebbe in questo caso per github: \u003chttps://github.com/login/oauth/authorize\u003e … Ne discuteremo internamente.

Probabilmente sarebbe anche utile che il testo di suggerimento fosse specifico su ciò che viene effettivamente bloccato, forse un’aggiunta: “Onebox seguirà i reindirizzamenti e bloccherà solo se la destinazione finale corrisponde a questa impostazione”.

sam · 17 Febbraio 2022, 2:27am

Idea stravagante… dovremmo supportare:

cache-control: no-store

La direttiva di risposta no-store indica che nessuna cache di alcun tipo (privata o condivisa) dovrebbe memorizzare questa risposta.

GitHub sta dicendo specificamente… per favore… non memorizzarmi…

Forse onebox dovrebbe rispettarlo… e non memorizzarlo.

Potremmo sempre renderlo un’impostazione sperimentale per iniziare e vedere quale impatto ha.

L’anteprima dovrebbe spiegare perché non stiamo facendo il oneboxing.

Nota… usiamo no-store in diversi punti, ma penso che in quei casi reindirizziamo, eppure c’è questa leggera complessità.

github.com/discourse/discourse

spec/requests/topics_controller_spec.rb

a0c65e91d


      
          it 'correctly renders canonicals' do
            get "/t/#{topic.id}", params: { slug: topic.slug }
          
            expect(response.status).to eq(200)
            expect(css_select("link[rel=canonical]").length).to eq(1)
            expect(response.headers["Cache-Control"]).to eq("no-cache, no-store")
          end

dschaper · 17 Febbraio 2022, 8:15pm

Ci colleghiamo a molte PR e Issue dai nostri vari repository e avere quelle anteprime integrate aiuta i nuovi utenti a capire di cosa tratta l’argomento senza dover accedere a GitHub.

sam · 17 Febbraio 2022, 8:56pm

Sì, capisco perfettamente, ci stiamo lavorando, penso che tra un giorno guardare l’header “no store” sia la migliore soluzione.

dschaper · 28 Febbraio 2022, 7:57pm

Mi dispiace per il sollecito, ma questo sta influenzando notevolmente il nostro sito di supporto. Le persone pubblicano link all’URL del tricorder che sono log di risoluzione dei problemi che il personale accreditato deve esaminare. Riceviamo un certo numero di questi post al giorno e dobbiamo intervenire manualmente e cambiare l’URL in un non-link per ora.

Avete idee su una tempistica per la risoluzione o è “presto™”

sam · 28 Febbraio 2022, 8:21pm

Risolveremo la cosa, direi tra circa 4 settimane.

GreenOWL · 10 Marzo 2022, 3:21pm

Come fare in Discourse Docker?

sam · 11 Marzo 2022, 12:22am

Ti consiglio di aspettare la nostra correzione, abbiamo una PR in corso:

github.com/discourse/discourse

FIX: Apply onebox blocked domain checks on every redirect

main ← fix/onebox-check-blocked-domain-on-redirect

opened 12:09AM - 10 Mar 22 UTC

OsamaSayegh

+171 -38

The `blocked onebox domains` setting lets site owners change what sites are all…owed to be oneboxed. When a link is entered into a post, Discourse checks the domain of the link against that setting and blocks the onebox if the domain is blocked. But if there's a chain of redirects, then only the final destination website is checked against the site setting. This commit amends that behavior so that every website in the redirect chain is checked against the site setting, and if anything is blocked the original link doesn't onebox at all in the post. The `Discourse-No-Onebox` header is also checked in every response and the onebox is blocked if the header is set to "1". Additionally, Discourse will now include the `Discourse-No-Onebox` header with every response if the site requires login to access content. This is done to signal to a Discourse instance that it shouldn't attempt to onebox other Discourse instances if they're login-only. Non-Discourse websites can also use include that header if they don't wish to have Discourse onebox their content. Internal ticket: t59305.

Modifica il comportamento in modo che:

Eseguiamo il controllo della blocklist su ogni hop in una catena di reindirizzamento
Introduciamo una nuova funzionalità in modo che qualsiasi sito possa disattivare il oneboxing impostando un’intestazione personalizzata

Questo risolverà il problema di @dschaper e ci darà maggiore flessibilità in futuro.

Sfortunatamente, optare per no store avrebbe una portata troppo ampia e catturerebbe troppi falsi positivi.

Osama · 11 Marzo 2022, 6:50am

La PR è stata unita e si trova nel branch tests-passed. Puoi aggiornare @dschaper e vedere se risolve il problema? Gli URL con il dominio tricorder.pi-hole.net non dovrebbero più essere visualizzati come onebox sul tuo sito.

dschaper · 14 Marzo 2022, 10:15pm

Sembra tutto a posto qui!

Grazie a tutti per la correzione.

Argomento		Risposte	Visualizzazioni
"blocked onebox domains" doesn't work Bug	5	529	Gennaio 23, 2023
How can I stop onebox redirection? Feature	15	2021	Dicembre 17, 2019
Allow sub-domains from blocked domain to onebox Support onebox	7	534	Ottobre 13, 2023
Onebox no longer works for my wordpress site Support	12	1691	Giugno 12, 2017
Disabling oneboxes Support	3	393	Gennaio 23, 2023

l'impostazione "domini onebox bloccati" non viene rispettata

Argomenti correlati