Ciao! Discourse 3 ha una soluzione per i vecchi problemi di sicurezza con Onebox? Intendo opzioni nelle impostazioni per consentire la generazione di anteprime di URL solo per domini attendibili come youtube, twitter, vimeo.
Perché senza questa impostazione Onebox può mostrare l’IP di origine, è un regalo per gli attaccanti DDoS.
Esempio incolla questo link: https://maper.info/21TcY1.jpg
E dov’è il pulsante nell’editor con il codice formattato?
Disabilitando enable inline onebox on all domains si otterrà esattamente questo. Si configurano i domini approvati tramite l’impostazione del sito inline_onebox_domain_allowlist.
Non è affatto vero.
Se la tua community è una di quelle che attira attacchi ddos, devi fare diverse cose per evitare che il tuo ip venga divulgato tramite dns, smtp, nonché tramite one box e immagini esterne (che vengono scaricate per impostazione predefinita).
A meno che tu non abbia una storia di attacchi ddos, ti consiglio di preoccuparti di quasi tutto il resto.
