configuração "blocked onebox domains" não respeitada

dschaper · Fevereiro 16, 2022, 9:35pm

blocked onebox domains são ignorados em 2.9.0beta2 (c6265eec6b).

Temos:

Esses domínios estão atrás de paredes OAuth e o onebox está tentando pré-visualizar os domínios e obtendo a URL de login do OAuth em vez disso.

supermathie · Fevereiro 16, 2022, 11:01pm

Essa configuração só entra em vigor no servidor — seu navegador ainda tentará fazer um onebox para a prévia.

Posso ver como isso pode ser inesperado.

Se você enviar a postagem, ela mostrará o onebox após o servidor renderizá-lo, ou mostrará a URL bruta como você espera?

dschaper · Fevereiro 17, 2022, 12:08am

Ele é exibido como um onebox quando o comentário é postado:

supermathie · Fevereiro 17, 2022, 12:14am

Sim, isso não parece estar funcionando corretamente…

nat · Fevereiro 17, 2022, 1:09am

Você pode tentar adicionar “auth.pi-hole.net” na sua configuração de domínios bloqueados para onebox?

Nós fizemos essa configuração de forma que ela segue redirecionamentos, mas bloqueia o domínio especificado apenas se ele for o destino final.

dschaper · Fevereiro 17, 2022, 1:15am

Acabei de tentar e ainda assim ele exibe um onebox. Acho que é porque o endpoint auth.pi-hole.net é um redirecionamento de URI do endpoint OAuth em github.com. E preferiríamos não bloquear o github.com de exibir onebox.

Vou verificar e ver se bloquear o github faz alguma coisa… Não, bloquear o github.com também não impede o onebox. Existe um cache que o onebox pode estar usando que precisa ser limpo para que uma nova consulta seja feita para tricorder?

nat · Fevereiro 17, 2022, 1:55am

Sim, eu entendo o porquê.

Existe um cache de um dia para URLs de onebox buscadas, então refazer o post manualmente (post.rebake!) após um dia impediria o oneboxing com o github.com bloqueado.

Temos algum trabalho em andamento para sermos mais inteligentes sobre redirecionamentos de autenticação, mas isso está limitado apenas à autenticação para fóruns do Discourse. Estou pensando que talvez expandir a configuração para permitir também subdiretórios nos ajudaria neste caso para o github: \u003chttps://github.com/login/oauth/authorize\u003e … Discutirei internamente sobre isso.

Provavelmente também é bom ter o texto da dica específico sobre o que é realmente bloqueado, talvez um adicional: “O Onebox seguirá os redirecionamentos e bloqueará apenas se o destino final corresponder a esta configuração”.

sam · Fevereiro 17, 2022, 2:27am

Ideia maluca… deveríamos suportar:

cache-control: no-store

A diretiva de resposta no-store indica que quaisquer caches de qualquer tipo (privados ou compartilhados) não devem armazenar esta resposta.

O GitHub está dizendo especificamente… por favor… não me armazene…

Talvez o onebox devesse respeitá-lo… e não armazená-lo.

Poderíamos sempre tornar isso uma configuração experimental para começar e ver qual impacto ela tem.

A prévia teria que explicar por que não estamos fazendo o onebox.

Observação… usamos no-store em vários lugares, mas acho que redirecionamos nesses casos, mas há essa pequena complexidade.

github.com/discourse/discourse

spec/requests/topics_controller_spec.rb

a0c65e91d


      
          it 'correctly renders canonicals' do
            get "/t/#{topic.id}", params: { slug: topic.slug }
          
            expect(response.status).to eq(200)
            expect(css_select("link[rel=canonical]").length).to eq(1)
            expect(response.headers["Cache-Control"]).to eq("no-cache, no-store")
          end

dschaper · Fevereiro 17, 2022, 8:15pm

Nós vinculamos a muitos PRs e Issues de nossos vários repositórios e ter esses itens pré-visualizados ajuda usuários mais novos a entenderem sobre o que é o tópico sem precisar acessar o GitHub.

sam · Fevereiro 17, 2022, 8:56pm

Sim, entendo perfeitamente, estamos trabalhando em uma solução, acho que daqui a um dia, olhando para o cabeçalho “no store” pode ser o melhor caminho a seguir.

dschaper · Fevereiro 28, 2022, 7:57pm

Desculpe incomodar, mas isso está realmente afetando nosso site de suporte. As pessoas postam links para a URL do tricorder que são logs de solução de problemas para a equipe credenciada analisar. Recebemos vários desses posts por dia e temos que entrar manualmente e alterar a URL para que não seja um link por enquanto.

Alguma ideia sobre um prazo para resolução ou é “em breve™”

sam · Fevereiro 28, 2022, 8:21pm

Vamos resolver isso, eu diria que em cerca de 4 semanas.

GreenOWL · Março 10, 2022, 3:21pm

Como fazer isso no Discourse Docker?

sam · Março 11, 2022, 12:22am

Recomendo esperar pela nossa correção, temos um PR em andamento:

github.com/discourse/discourse

FIX: Apply onebox blocked domain checks on every redirect

main ← fix/onebox-check-blocked-domain-on-redirect

opened 12:09AM - 10 Mar 22 UTC

OsamaSayegh

+171 -38

The `blocked onebox domains` setting lets site owners change what sites are all…owed to be oneboxed. When a link is entered into a post, Discourse checks the domain of the link against that setting and blocks the onebox if the domain is blocked. But if there's a chain of redirects, then only the final destination website is checked against the site setting. This commit amends that behavior so that every website in the redirect chain is checked against the site setting, and if anything is blocked the original link doesn't onebox at all in the post. The `Discourse-No-Onebox` header is also checked in every response and the onebox is blocked if the header is set to "1". Additionally, Discourse will now include the `Discourse-No-Onebox` header with every response if the site requires login to access content. This is done to signal to a Discourse instance that it shouldn't attempt to onebox other Discourse instances if they're login-only. Non-Discourse websites can also use include that header if they don't wish to have Discourse onebox their content. Internal ticket: t59305.

Ele altera o comportamento para que:

Façamos a verificação da lista de bloqueio em cada salto em uma cadeia de redirecionamento
Introduzamos um novo recurso para que qualquer site possa optar por não participar do oneboxing definindo um cabeçalho personalizado

Isso resolverá o problema do @dschaper e nos dará mais flexibilidade no futuro.

Infelizmente, optar por no store seria uma rede muito ampla e capturaria muitos falsos positivos.

Osama · Março 11, 2022, 6:50am

O PR foi mesclado e está no branch tests-passed. Você pode atualizar o @dschaper e ver se isso resolve o problema? URLs com o domínio tricorder.pi-hole.net não devem mais aparecer como onebox no seu site.

dschaper · Março 14, 2022, 10:15pm

Parece tudo bom aqui!

Obrigado pela correção a todos.

Tópico		Respostas	Visualizações
"blocked onebox domains" doesn't work Bug	5	529	23 de Janeiro de 2023
How can I stop onebox redirection? Feature	15	2021	17 de Dezembro de 2019
Allow sub-domains from blocked domain to onebox Support onebox	7	534	13 de Outubro de 2023
Onebox no longer works for my wordpress site Support	12	1691	12 de Junho de 2017
Disabling oneboxes Support	3	393	23 de Janeiro de 2023

configuração "blocked onebox domains" não respeitada

Tópicos relacionados