Olá! O Discourse 3 tem uma solução para os antigos problemas de segurança com o Onebox? Quero dizer, opções nas configurações para permitir a geração de pré-visualização de URL apenas para domínios confiáveis como youtube, twitter, vimeo.
Porque sem essa configuração, o Onebox pode mostrar o IP de origem, é um presente para os atacantes de ddos.
Exemplo, cole este link: https://maper.info/21TcY1.jpg
E onde está o botão no composer com código formatado?
Desativar enable inline onebox on all domains alcançará exatamente isso. Você configura domínios aprovados através da configuração do site inline_onebox_domain_allowlist.
Isso não é verdade, de forma alguma.
Se sua comunidade é uma que atrai ataques de ddos, você precisa fazer várias coisas para evitar que seu ip vaze via dns, smtp, bem como caixas únicas e imagens externas (que são baixadas por padrão).
A menos que você tenha um histórico de ataques de ddos, eu recomendaria que você se preocupasse com quase qualquer outra coisa.
